Проблема.

[lamauser]

Вообщем так.

подключаюсь к инету. вообще ничего не открываю\не качаю

за час входящих 30 метров и 60 метров исходящего.

ежу понятно что где то зараза сидит :)

подручными средствами заразу не нашол.

надеюсь на экспертов :D

[Saladin]

Поставь файервол Comodo. Чётко показывает кто и сколько тащит из инета. :D

[lamauser]

Какой нибудь Firewall ставить не пробовали ?

в логах работающего аутпоста не видно разве?)

:D

[Saladin]

А он учет "кто, кого и откуда" ведёт? :D

Я просто им не пользовался...

ЗЫ похоже тащит кто-то из разрешенных...

Изменено 27 октября, 2007 пользователем Saladin

[lamauser]

ЗЫ похоже тащит кто-то из разрешенных...

угу, меня вообще многое в логе авз напрягло, но поскольку я тапок, то лутше дождатся профи)

вот чего кажет аутпост по поводу сетевой активности

[ser208]

Corel DRAW?

Изменено 27 октября, 2007 пользователем ser208

[lamauser]

Corel DRAW?

не ставил

2 часа онлайн

60 входящие\120 исходящие

абзац

[Timba]

Бывает канал забит пакетами от троянов, спамботов............... закрой всю сеть корпоративным антивирусом и все может наладится. Может проблема в этом.

[ser208]

не ставил

C:\WINDOWS\system32\ISUSPM.cpl

Чье тогда?

[lamauser]

Бывает канал забит пакетами от троянов, спамботов............... закрой всю сеть корпоративным антивирусом и все может наладится. Может проблема в этом.

эм...а для лапухов расшифровку можно?

хотел комодо поставить, да только сайт чето не пашет их)

C:\WINDOWS\system32\ISUSPM.cpl

Чье тогда?

как говорится в душе не.. понятия не имею....

корела нету на компе

[ser208]

Попробуем. В AVZ меню Сервис-Поиск файлов на диске.

Ищи SCRNSAVE.EXE. Отметь в поиске только системный диск С:. Отметь опцию "копировать отмеченные в карантин"

Если найдешь, напиши где.

Сделай лог OSAM

Для этого после запуска нажми кнопку Export.

И покажи.

Изменено 27 октября, 2007 пользователем ser208

[lamauser]

Ищи SCRNSAVE.EXE. .

Сделай лог

не нашол

osam не запускается, т.е жму на ехе реакции ноль, сейчам библиотеки докачать минут через 10 выложу

[lamauser]

а вот и лог

[ser208]

C:\WINDOWS\system32\drivers\Rcu37.sys

Найди этот драйвер, скопируй куда-нибудь и проверь online-антивирусами http://virusscan.jotti.org/

[lamauser]

сделано.

File: Rcu37.sys

Status: INFECTED/MALWARE

MD5: f112387b6ca03981db40e679c481e4cb

Packers detected: Analyzing...

Bit9 reports: File not found

A-Squared Found nothing

AntiVir Found TR/Rootkit.Gen

ArcaVir Found nothing

Avast Found Win32:Agent-MET

AVG Antivirus Found BackDoor.Generic8.YCY

BitDefender Found nothing

ClamAV Scanning, please wait...

CPsecure Scanning, please wait...

Dr.Web Scanning, please wait...

F-Prot Antivirus Scanning, please wait...

F-Secure Anti-Virus Scanning, please wait...

Fortinet Scanning, please wait...

Kaspersky Anti-Virus Scanning, please wait...

NOD32 Scanning, please wait...

Norman Virus Control Scanning, please wait...

Panda Antivirus Scanning, please wait...

Rising Antivirus Scanning, please wait...

Sophos Antivirus Scanning, please wait...

VirusBuster Scanning, please wait...

VBA32 Scanning, please wait...

дождатся пока все антивири проверят?)

ИТОГ

AntiVir Found TR/Rootkit.Gen

Avast Found Win32:Agent-MET

AVG Antivirus Found BackDoor.Generic8.YCY

Dr.Web Found Trojan.NtRootKit.433

F-Secure Anti-Virus Found Rootkit.Win32.Agent.ll

Fortinet Found W32/Agent.LL!tr.rkit

Kaspersky Anti-Virus Found Rootkit.Win32.Agent.ll

NOD32 Found a variant of Win32/Rootkit.Agent.HU

[ser208]

begin  SetAVZGuardStatus(True);  SearchRootkit(true, true);    BC_DeleteFile('C:\WINDOWS\system32\drivers\Rcu37.sys');  ExecuteSysClean;  BC_Activate;  RebootWindows(true);  end.

В меню "Файл" -- "Выполнить скрипт" скопируй код и нажми "Запустить".

Компьютер перезагрузится.

Ждем новые логи.

Изменено 27 октября, 2007 пользователем ser208

[lamauser]

сделано

но в логе osam опять этот драйвер отмечен

[ser208]

Почему бы ему и не быть? :D :(

Путь я забыл указать, блин, скрипт неправильный.

BC_DeleteFile('Rcu37.sys');  

--неправильно!

Выполни его исправленный выше.

З.Ы. Можно в OSAM убрать галочку перед драйвером и смотреть на результат.

Изменено 27 октября, 2007 пользователем ser208

[lamauser]

begin  SetAVZGuardStatus(True);  SearchRootkit(true, true);    BC_DeleteFile('C:\WINDOWS\system32\drivers\Rcu37.sys');  ExecuteSysClean;  BC_Activate;  RebootWindows(true);  end.

выполнил..

тока он все равно чихать хотел на это все

всмысле руткита то унесло, но исходящии траф за 7 минут уже около 7 метров)

[Timba]

lamauser

м...а для лапухов расшифровку можно?

хотел комодо поставить, да только сайт чето не пашет их)

Да при чем тут лапухи.......... Просто если надо закрывать сеть то всю. Корпоративным антивирусом, чтобы из консоли все это управлялось да можно и без консоли если сеть маленькая. Но закрывать надо, и это надо донести до руководства.... потому как осталось очень мало альтруистов среди компаний-производителей антивирусного ПО. Комодо г..... мно извиняюсь. ИМХО

[Saladin]

Комодо г..... мно извиняюсь. ИМХО

Аргументы?

[Maikll]

lamauser: в определении виновника может помочь эта утилита Она покажет активные сетевые соединения и процесс который это дело использует.

[lamauser]

Корпоративным антивирусом, чтобы из консоли все это управлялось да можно и без консоли если сеть маленькая.

это у меня не в корп сети, а на домашнем компе, а тут локалки нету

кстати проблема решилась.

за тестовые полтора часа

принято 1362505 байт

отправлено 344494 байт

единственно что сделал, после вчерашних ночных танцев с бубном, так это удалил Rcu37.sys, которую забыл вынести с другого диска после отправки на http://virusscan.jotti.org/

в определении виновника может помочь эта утилита Она покажет активные сетевые соединения и процесс который это дело использует.

ты уверен что эта ссылка видет к утилите?)

я кроме ini фаила там ничего невижу :(

[Maikll]

сорри, вот правильная - http://www.nirsoft.net/utils/cports.zip. то, что выше - руссификатор к ней

[lamauser]

спасибо, вслучае повторения проблемы всенепременно воспользуюсь