Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Проблема.

lamauser
 Поделиться

Рекомендуемые сообщения

lamauser

lamauser

Опубликовано
Опубликовано

Вообщем так.

подключаюсь к инету. вообще ничего не открываю\не качаю

за час входящих 30 метров и 60 метров исходящего.

ежу понятно что где то зараза сидит :)

подручными средствами заразу не нашол.

надеюсь на экспертов :D

Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано

Какой нибудь Firewall ставить не пробовали ?

в логах работающего аутпоста не видно разве?)

:D

Ссылка на комментарий
Поделиться на другие сайты
Saladin

Saladin

Опубликовано
Опубликовано (изменено)

А он учет "кто, кого и откуда" ведёт? :D

Я просто им не пользовался...

ЗЫ похоже тащит кто-то из разрешенных...

Изменено пользователем Saladin
Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано

ЗЫ похоже тащит кто-то из разрешенных...

угу, меня вообще многое в логе авз напрягло, но поскольку я тапок, то лутше дождатся профи)

вот чего кажет аутпост по поводу сетевой активности

Ссылка на комментарий
Поделиться на другие сайты
Timba

Timba

Опубликовано
Опубликовано

Бывает канал забит пакетами от троянов, спамботов............... закрой всю сеть корпоративным антивирусом и все может наладится. Может проблема в этом.

Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано

Бывает канал забит пакетами от троянов, спамботов............... закрой всю сеть корпоративным антивирусом и все может наладится. Может проблема в этом.

эм...а для лапухов расшифровку можно?

хотел комодо поставить, да только сайт чето не пашет их)

C:\WINDOWS\system32\ISUSPM.cpl

Чье тогда?

как говорится в душе не.. понятия не имею....

корела нету на компе

Ссылка на комментарий
Поделиться на другие сайты
ser208

ser208

Опубликовано
Опубликовано (изменено)

Попробуем. В AVZ меню Сервис-Поиск файлов на диске.

Ищи SCRNSAVE.EXE. Отметь в поиске только системный диск С:. Отметь опцию "копировать отмеченные в карантин"

Если найдешь, напиши где.

Сделай лог OSAM

Для этого после запуска нажми кнопку Export.

И покажи.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано

:dontgetit:

Ищи SCRNSAVE.EXE. .

Сделай лог

не нашол

osam не запускается, т.е жму на ехе реакции ноль, сейчам библиотеки докачать минут через 10 выложу

Ссылка на комментарий
Поделиться на другие сайты
ser208

ser208

Опубликовано
Опубликовано

C:\WINDOWS\system32\drivers\Rcu37.sys

Найди этот драйвер, скопируй куда-нибудь и проверь online-антивирусами http://virusscan.jotti.org/

Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано

сделано.

File: Rcu37.sys

Status: INFECTED/MALWARE

MD5: f112387b6ca03981db40e679c481e4cb

Packers detected: Analyzing...

Bit9 reports: File not found

A-Squared Found nothing

AntiVir Found TR/Rootkit.Gen

ArcaVir Found nothing

Avast Found Win32:Agent-MET

AVG Antivirus Found BackDoor.Generic8.YCY

BitDefender Found nothing

ClamAV Scanning, please wait...

CPsecure Scanning, please wait...

Dr.Web Scanning, please wait...

F-Prot Antivirus Scanning, please wait...

F-Secure Anti-Virus Scanning, please wait...

Fortinet Scanning, please wait...

Kaspersky Anti-Virus Scanning, please wait...

NOD32 Scanning, please wait...

Norman Virus Control Scanning, please wait...

Panda Antivirus Scanning, please wait...

Rising Antivirus Scanning, please wait...

Sophos Antivirus Scanning, please wait...

VirusBuster Scanning, please wait...

VBA32 Scanning, please wait...

дождатся пока все антивири проверят?)

ИТОГ

AntiVir Found TR/Rootkit.Gen

Avast Found Win32:Agent-MET

AVG Antivirus Found BackDoor.Generic8.YCY

Dr.Web Found Trojan.NtRootKit.433

F-Secure Anti-Virus Found Rootkit.Win32.Agent.ll

Fortinet Found W32/Agent.LL!tr.rkit

Kaspersky Anti-Virus Found Rootkit.Win32.Agent.ll

NOD32 Found a variant of Win32/Rootkit.Agent.HU

Ссылка на комментарий
Поделиться на другие сайты
ser208

ser208

Опубликовано
Опубликовано (изменено) 
begin  SetAVZGuardStatus(True);  SearchRootkit(true, true);    BC_DeleteFile('C:\WINDOWS\system32\drivers\Rcu37.sys');  ExecuteSysClean;  BC_Activate;  RebootWindows(true);  end.

В меню "Файл" -- "Выполнить скрипт" скопируй код и нажми "Запустить".

Компьютер перезагрузится.

Ждем новые логи.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты
ser208

ser208

Опубликовано
Опубликовано (изменено)

Почему бы ему и не быть? :dontgetit: :D :(

Путь я забыл указать, блин, скрипт неправильный.

BC_DeleteFile('Rcu37.sys');

--неправильно!

Выполни его исправленный выше.

З.Ы. Можно в OSAM убрать галочку перед драйвером и смотреть на результат.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано 
begin  SetAVZGuardStatus(True);  SearchRootkit(true, true);    BC_DeleteFile('C:\WINDOWS\system32\drivers\Rcu37.sys');  ExecuteSysClean;  BC_Activate;  RebootWindows(true);  end.

выполнил..

тока он все равно чихать хотел на это все :dontgetit:

всмысле руткита то унесло, но исходящии траф за 7 минут уже около 7 метров)

Ссылка на комментарий
Поделиться на другие сайты
Timba

Timba

Опубликовано
Опубликовано

lamauser

м...а для лапухов расшифровку можно?

хотел комодо поставить, да только сайт чето не пашет их)

Да при чем тут лапухи.......... :blush2: Просто если надо закрывать сеть то всю. Корпоративным антивирусом, чтобы из консоли все это управлялось да можно и без консоли если сеть маленькая. Но закрывать надо, и это надо донести до руководства.... потому как осталось очень мало альтруистов среди компаний-производителей антивирусного ПО. :blink: Комодо г..... мно извиняюсь. ИМХО

Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано

lamauser: в определении виновника может помочь эта утилита Она покажет активные сетевые соединения и процесс который это дело использует.

Ссылка на комментарий
Поделиться на другие сайты
lamauser

lamauser

Опубликовано
  • Автор
Опубликовано

Корпоративным антивирусом, чтобы из консоли все это управлялось да можно и без консоли если сеть маленькая.

это у меня не в корп сети, а на домашнем компе, а тут локалки нету :blink:

кстати проблема решилась.

за тестовые полтора часа

принято 1362505 байт

отправлено 344494 байт

единственно что сделал, после вчерашних ночных танцев с бубном, так это удалил Rcu37.sys, которую забыл вынести с другого диска после отправки на http://virusscan.jotti.org/

:blush2:

в определении виновника может помочь эта утилита Она покажет активные сетевые соединения и процесс который это дело использует.

ты уверен что эта ссылка видет к утилите?)

я кроме ini фаила там ничего невижу :(

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...