nervy Опубликовано 27 сентября, 2007 Жалоба Поделиться Опубликовано 27 сентября, 2007 На днях обнаружил, что стали слишком медленно грузиться страницы в инете. Грешил на провайдера ибо у них грабли часто появляются, но решил глянуть в логи файрвола. И в http-логе ВинРоута вижу я примерно следуйщее: 192.168.164.2 - nervy [27/Sep/2007:09:49:38 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 192.168.164.2 - nervy [27/Sep/2007:09:49:38 +0300] "GET http://svoboda.lg.ua/ HTTP/1.1" 200 269 192.168.164.2 - nervy [27/Sep/2007:09:49:38 +0300] "GET http://svoboda.lg.ua/ HTTP/1.1" 200 269 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/1.1" 200 269 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 Всякие танцы с бубном и AVZ быстро показали скрытый процесс svchost.exe (именно так, не какой-то там svcchost.exe или подобное), которым было запущено много модулей (подробнее - в прикрепленном файле avz_modules.htm). PID этого процесса небыло в Task Manager'е, увидел я его только в диспетчере процессов в AVZ, этот процесс был выделен красным шрифтом. И правда, убиение этого процесса прекратило долбежку. Кто знает что это за дурь и как с ней бороться? Прошу помощи у знающих. Заранее благодарен! ЗЫ. Прикрепляю логи согласно правилам, плюс список модулей того скрытого процесса. avz_modules.htm avz_sysinfo.htm hijackthis.log avz_modules.htm avz_sysinfo.htm hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ursus Опубликовано 24 октября, 2007 Жалоба Поделиться Опубликовано 24 октября, 2007 На днях обнаружил, что стали слишком медленно грузиться страницы в инете. Грешил на провайдера ибо у них грабли часто появляются, но решил глянуть в логи файрвола. И в http-логе ВинРоута вижу я примерно следуйщее: 192.168.164.2 - nervy [27/Sep/2007:09:49:38 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 192.168.164.2 - nervy [27/Sep/2007:09:49:38 +0300] "GET http://svoboda.lg.ua/ HTTP/1.1" 200 269 192.168.164.2 - nervy [27/Sep/2007:09:49:38 +0300] "GET http://svoboda.lg.ua/ HTTP/1.1" 200 269 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/1.1" 200 269 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 192.168.164.2 - nervy [27/Sep/2007:09:49:39 +0300] "GET http://svoboda.lg.ua/ HTTP/0.0" 0 527 Всякие танцы с бубном и AVZ быстро показали скрытый процесс svchost.exe (именно так, не какой-то там svcchost.exe или подобное), которым было запущено много модулей (подробнее - в прикрепленном файле avz_modules.htm). PID этого процесса небыло в Task Manager'е, увидел я его только в диспетчере процессов в AVZ, этот процесс был выделен красным шрифтом. И правда, убиение этого процесса прекратило долбежку. Кто знает что это за дурь и как с ней бороться? Прошу помощи у знающих. Заранее благодарен! ЗЫ. Прикрепляю логи согласно правилам, плюс список модулей того скрытого процесса. Здравствуйте. Я - администратор сайта svoboda.lg.ua. Раз уж затронули мое детище, то считаю нужным сообщить - не знаю, что там у вас тормозило и не работало, но в указанное время сайт подвергался мощной DDoS атаке, с которой мы боролись всевозможными методами. Возможно это как-то на вас повлияло :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 24 октября, 2007 Жалоба Поделиться Опубликовано 24 октября, 2007 (изменено) У тебя заражено большинство исполняемых файлов. Прежде чем начинать лечение, скачай Cureit , и проверь системный диск в безопасном режиме, предварительно записав ее на болванку и запускай ее оттуда. После лечения этой утилитой сделай новые логи Hijack, АVZ и еще сделай сканирование утилитой OSAM. Ее лог тоже нужен. Для этого после запуска и загрузки нажми кнопку Export. Дай информацию насчет прокси, испльзуешь ли ты их? Radmin ты сам устанавливал? Я - администратор сайта svoboda.lg.ua. Ну его машина является звеном зараженных машин, с которых ведутся атаки. Изменено 24 октября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ursus Опубликовано 25 октября, 2007 Жалоба Поделиться Опубликовано 25 октября, 2007 Ну его машина является звеном зараженных машин, с которых ведутся атаки. хм, как-то сразу не сообразил :molot3: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 25 октября, 2007 Жалоба Поделиться Опубликовано 25 октября, 2007 (изменено) А на форум не один ты заходишь. Неясно только, зачем хаксонам понадобилось ресурсы тратить на ту лабуду. Изменено 2 ноября, 2007 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Costas Опубликовано 12 ноября, 2007 Жалоба Поделиться Опубликовано 12 ноября, 2007 А на форум не один ты заходишь. Неясно только, зачем хаксонам понадобилось ресурсы тратить на ту лабуду. Вот и я не понимаю а точьно такие танцы с бубном начались на моем комп. Убыл AVZ а что за вражына была непонятно. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.