В локалке вовсю веселится W32.Korgo.W , но машина с установленной на ней Panda и последними обновлениями никого не видит. Удалил вирус вручную, но при подключении к инету за минуту уходят 5 мег инфы, куда непонятно. Подкинул винт на машину с симантеком, но он ничего не нашел, хотя у себя ловит Корго регулярно, тот никак не успокоится, а всю сетку вылечить нет возможности. Самое интересно что гнать траффик машина начинает после ЧАСА работы в инете, и если VPN отрубить и комп перезагрузить, то после подключения все ОК, но только около часа, потом таже песня - немерянный исходящий траффик. Проблема еще в том, что на этой машине стоит серверная Panda, и с нее обновляется куча машин, сносить ее нельзя, а второго антивируса она есно не допустит, машина сразу на рога станет. Подскажите что делать?
» Странный вирус
geka81 Пару месяцев назад у меня в локалке (порядка 20 машин) была аналогичная ситуация (вирус - другой, но какой уже не помню). Диоды у хабов моргали, как елочные игрушки 
Первым делом физически отключили сервак от провайдера, затем по логам вычислили первую зараженную машину, отключили её. Кончилось тем, что поотключали все компы от локалки (физически). А потом пошла рутина - скачали последнее обновление (стоит McAfee) и за 2-3 часа вылечили все компы. Свою методику я рассказал, как ты будешь бороться со своей Пандой, я не знаю 
Можно попробовать поставить другой антивирь (который ловит твою гадость) на какую-нибудь машину и попробовать лечить по сети, либо, если это не прокатит, снимать харды и лечить их на этой машине (но это гиморно, если машин много и каждую придется вскрывать и т.д.).
Первым делом физически отключили сервак от провайдера, затем по логам вычислили первую зараженную машину, отключили её. Кончилось тем, что поотключали все компы от локалки (физически). А потом пошла рутина - скачали последнее обновление (стоит McAfee) и за 2-3 часа вылечили все компы. Свою методику я рассказал, как ты будешь бороться со своей Пандой, я не знаю Можно попробовать поставить другой антивирь (который ловит твою гадость) на какую-нибудь машину и попробовать лечить по сети, либо, если это не прокатит, снимать харды и лечить их на этой машине (но это гиморно, если машин много и каждую придется вскрывать и т.д.). Andy
В том то и дело, что подкинул хард на машину с симантеком и он ничего не нашел, хотя машину к которой подкидывал он хорошо защищает, там таких проблем нет...
В том то и дело, что подкинул хард на машину с симантеком и он ничего не нашел, хотя машину к которой подкидывал он хорошо защищает, там таких проблем нет...
Млин, закрыл ВСЕ файрволом, оставил только необходимые службы для VPN подключения, а траффик все равно через час после установления связи начинает гнать в канал по 5-8 мег в минуту.... Никаких вирусов найти не смог, единственное что в процессах winlogon начинает забирать почти все ресурсы проца, причем именно после часа работы в инете, и помогает только перезагрузка...
попробуй прогнать касперычем, он у меня нашел пару вирей, которые пропустил sav
geka81 Проверься на трояны и шпионов (типа, TrojanHunter3.85 и SpyRemover).
Цитата:
Цитата:
раффик все равно через час после установления связи начинает гнать в канал по 5-8 мег в минуту....И всегда по одному адресу?
Andy
В том то и дело, что я не пойму куда идет утечка инфы. Пров утверждает что через сервак этот траффик не проходит! Мне правда от этого не легче, поскольку канал заваливается полностью, а эта машина является проксей для сотни машин в сетке, и работать инет обязан...
Master Bob
Касперского под рукой нету, прогонял корпоративными версиями Panda и Symantec с последними обновлениями, и они ничего не нашли, касперскому подсовывал winlogon.exe, который начинает есть ресурсы проца при данном явлении, но он тоже заявил что все чисто... Началось все кстати в пятницу, но именно тогда по сетке начал гулять W32.Korgo.W, и я списал это на него, панда его не хавала, а симантек съедал, но этот винт оба обозначили как чистый... Самое странное что файрвол никак не реагирует на данный прирост исходящего траффика, новых процессов не загружается, новых связей не устанавливается, нифига понять не могу=((
В том то и дело, что я не пойму куда идет утечка инфы. Пров утверждает что через сервак этот траффик не проходит! Мне правда от этого не легче, поскольку канал заваливается полностью, а эта машина является проксей для сотни машин в сетке, и работать инет обязан...
Master Bob
Касперского под рукой нету, прогонял корпоративными версиями Panda и Symantec с последними обновлениями, и они ничего не нашли, касперскому подсовывал winlogon.exe, который начинает есть ресурсы проца при данном явлении, но он тоже заявил что все чисто... Началось все кстати в пятницу, но именно тогда по сетке начал гулять W32.Korgo.W, и я списал это на него, панда его не хавала, а симантек съедал, но этот винт оба обозначили как чистый... Самое странное что файрвол никак не реагирует на данный прирост исходящего траффика, новых процессов не загружается, новых связей не устанавливается, нифига понять не могу=((
geka81 Ну фаер то должен показать какое у тебя открывается соединение и с кем? Отследи момент утечки в этом интервале времени : 45 - 55 минут после перезагрузки.
Symantec Corporate 9.0 если при сканировании в опциях ставить птицу напротив Scan for expanded threats эту гадость ловит.
Правда если свежие патчи на систему не поставить, то через 10 минут он у тебя снова появится.
Пропачи все компы в системе (этот вирь вроде через ту же дыру что и Sasser работает), почистись симантеком и забудь
P/S/ А вообще то я сам больше недели матерился, когда за час дайлапа с тебя 25 мег уходит и при этом инет почти мертвый
Правда если свежие патчи на систему не поставить, то через 10 минут он у тебя снова появится.
Пропачи все компы в системе (этот вирь вроде через ту же дыру что и Sasser работает), почистись симантеком и забудь
P/S/ А вообще то я сам больше недели матерился, когда за час дайлапа с тебя 25 мег уходит и при этом инет почти мертвый
Цитата:
Касперского под рукой нетуhttp://forum.ru-board.com/topic.cgi?forum=35&topic=18365&start=1040#lt
Andy
В том то и дело, что файрвол ничего не показывеет, новых соединений не появляется!!
badrazor
Какую гадость? Ты сталкивался с подобным? если да, скажи как эта тварь называется, галочки ставил все, ничего не нашел=((
Поставил все патчи мелкософта для XP за последний год, пропатчил и експлорер, все побоку, 59 минут после установления соединения и траффик попер, VPN в итоге просто через 5-7 минут начинает вываливаться. Перезагружаюсь и все снова ОК.
Хочу перставить винду, но тут уже спортивный интерес, надо название этой сволочи узнать.
В том то и дело, что файрвол ничего не показывеет, новых соединений не появляется!!
badrazor
Какую гадость? Ты сталкивался с подобным? если да, скажи как эта тварь называется, галочки ставил все, ничего не нашел=((
Поставил все патчи мелкософта для XP за последний год, пропатчил и експлорер, все побоку, 59 минут после установления соединения и траффик попер, VPN в итоге просто через 5-7 минут начинает вываливаться. Перезагружаюсь и все снова ОК.
Хочу перставить винду, но тут уже спортивный интерес, надо название этой сволочи узнать.
geka81
Цитата:
Цитата:
Так может она и не заражена? Может какая-то другая через нее гонит траффик?
Цитата:
эта машина является проксей для сотни машин в сетке
Цитата:
новых соединений не появляется!!
Так может она и не заражена? Может какая-то другая через нее гонит траффик?
geka81
Цитата:
Странно, у меня W32.Korgo.W появился именно когда я систему переставил, а патчи накатить было влом. В system32 периодически повлялись файлы с произвольным набором букв в имени и одинаковым размером 9353 если не ошибаюсь. Спустя какое то время действительно начинает переть исходящий траф, причем никаких лишних процессов в памяти нет, а процесорное время сжирает exolorer.exe (кстати не обязательно перегружать машину, можно удалить из процессов explorer.exe а потом через Add Task снова запустить, на какое то время помогает). Симантек в режиме expanded threats определял его как W32.Korgo.W
Может у тебя новая модификация, которую sav еще не умеет определять.
Цитата:
Поставил все патчи мелкософта для XP за последний год, пропатчил и експлорер, все побоку, 59 минут после установления соединения и траффик попер, VPN в итоге просто через 5-7 минут начинает вываливаться. Перезагружаюсь и все снова ОК.
Странно, у меня W32.Korgo.W появился именно когда я систему переставил, а патчи накатить было влом. В system32 периодически повлялись файлы с произвольным набором букв в имени и одинаковым размером 9353 если не ошибаюсь. Спустя какое то время действительно начинает переть исходящий траф, причем никаких лишних процессов в памяти нет, а процесорное время сжирает exolorer.exe (кстати не обязательно перегружать машину, можно удалить из процессов explorer.exe а потом через Add Task снова запустить, на какое то время помогает). Симантек в режиме expanded threats определял его как W32.Korgo.W
Может у тебя новая модификация, которую sav еще не умеет определять.
tumber
Нет, в логах прокси ничего нет, когда начинается утечка траффика никто уже через прокси пробиться не может, кроме того спецом вырубал проксю и только потом включал инет, 59 минут и все...
Ad-Aware SE ничего серьезного не нашел, щас прогоняю Stinger 'ом от McAfee и качаю касперского, перегружать комп каждый час меня напрягает конкретно.
Нет, в логах прокси ничего нет, когда начинается утечка траффика никто уже через прокси пробиться не может, кроме того спецом вырубал проксю и только потом включал инет, 59 минут и все...
Ad-Aware SE ничего серьезного не нашел, щас прогоняю Stinger 'ом от McAfee и качаю касперского, перегружать комп каждый час меня напрягает конкретно.
geka81
Попробуй удалить explorer.exe из процессов а потом снова запустить. Если после этого исходящий трафик на время прекратится, значит симптомы те же что и у меня.
Попробуй удалить explorer.exe из процессов а потом снова запустить. Если после этого исходящий трафик на время прекратится, значит симптомы те же что и у меня.
McAfee тоже ничего не нашел...
badrazor
Щас так и сделаю, траффик уже погнал, ровно 59 минут)) Вот только проц у меня не explorer грузит, а winlogon и его выгрузить нельзя..
Добавлено
Выгрузка explorer.exe ничего не дала, после загрузки при подключении траффик валит сразу, winlogon при этом не попускает и он жрет почти все ресурсы.
Добавлено
badrazor
И у тебя был заражен именно explorer.exe ?? У меня все файлы W32.Korgo.W были автономными, можно смело удалять было. Кста, кто знает куда можно послать файлик для обследования, хочу winlogon.exe заслать, мож и правда новая модификация, хотя ведь с прошлой пятницы еще эта проблема появилась...
badrazor
Щас так и сделаю, траффик уже погнал, ровно 59 минут)) Вот только проц у меня не explorer грузит, а winlogon и его выгрузить нельзя..
Добавлено
Выгрузка explorer.exe ничего не дала, после загрузки при подключении траффик валит сразу, winlogon при этом не попускает и он жрет почти все ресурсы.
Добавлено
badrazor
И у тебя был заражен именно explorer.exe ?? У меня все файлы W32.Korgo.W были автономными, можно смело удалять было. Кста, кто знает куда можно послать файлик для обследования, хочу winlogon.exe заслать, мож и правда новая модификация, хотя ведь с прошлой пятницы еще эта проблема появилась...
geka81
Цитата:
Например, сюда: http://www.antiviruspro.ru/on-line2.htm
Некоторые вири именуют себя как winlogon.exe, но пишутся в systemroot, а не как настоящий winlogon.exe в systemroot\SYSTEM32.
Цитата:
Кста, кто знает куда можно послать файлик для обследования
Например, сюда: http://www.antiviruspro.ru/on-line2.htm
Некоторые вири именуют себя как winlogon.exe, но пишутся в systemroot, а не как настоящий winlogon.exe в systemroot\SYSTEM32.
Цитата:
И у тебя был заражен именно explorer.exe ?? У меня все файлы W32.Korgo.W были автономными, можно смело удалять было. Кста, кто знает куда можно послать файлик для обследования, хочу winlogon.exe заслать, мож и правда новая модификация, хотя ведь с прошлой пятницы еще эта проблема появилась...
Нет explorer.exe был чистый, файлы вируса были автономными тоже, просто грузил проц почему то именно explorer
tumber
Цитата:
Там был, оба сказали что все чисто...
Цитата:
ЕСТЬ КОНТАКТ!!! winlogon.exe в systemroot\system скрытый, весит 27206 байт, хотя реальный в 20 раз больше) Удалить себя под виндой не дает, на http://www.kaspersky.ru/scanforvirus сказали :
Проверенный файл: winlogon.exe
winlogon.exe - упакован Yoda
winlogon.exe - упакован UPX
winlogon.exe - инфицирован DDoS.Win32.Boxed.k
А вот вебер, панда и симантек не нашли нифига, прискорбно... Файл себя под виндой есно удалить не дает, грохнул под DOSом, думаю вопрос с траффиком можно считать закрытым.
tumber
С меня пиво)) Очень благодарен за совет.
badrazor
Andy
Master Bob
Спасибо за участие)
З.Ы. не ожидал что Касперский такой рулевой то...
Цитата:
Например, сюда: http://www.antiviruspro.ru/on-line2.htm
Там был, оба сказали что все чисто...
Цитата:
Некоторые вири именуют себя как winlogon.exe, но пишутся в systemroot, а не как настоящий winlogon.exe в systemroot\SYSTEM32.
ЕСТЬ КОНТАКТ!!! winlogon.exe в systemroot\system скрытый, весит 27206 байт, хотя реальный в 20 раз больше) Удалить себя под виндой не дает, на http://www.kaspersky.ru/scanforvirus сказали :
Проверенный файл: winlogon.exe
winlogon.exe - упакован Yoda
winlogon.exe - упакован UPX
winlogon.exe - инфицирован DDoS.Win32.Boxed.k
А вот вебер, панда и симантек не нашли нифига, прискорбно... Файл себя под виндой есно удалить не дает, грохнул под DOSом, думаю вопрос с траффиком можно считать закрытым.
tumber
С меня пиво)) Очень благодарен за совет.
badrazor
Andy
Master Bob
Спасибо за участие)
З.Ы. не ожидал что Касперский такой рулевой то...
geka81
Поздравляю!
Поздравляю!
Страницы: 1
Предыдущая тема: Разбиение диска на разделы (хочу перейти с FAT32 на NTFS)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.