» Помощь при лечении компьютера от вирусов

KismetT

Цитата:

Можешь в Currports включить журналирование и смотреть, что куда лезет.

Как это сделать?
Трафик все равно утекает рекой.
В SmartSniff всё чисто.


Цитата:

Набери в браузере http://69.73.166.124/ и всё станет понятно.

это же сам Nir, извиняюсь.

Цитата:

В SmartSniff всё чисто.

Запуск от администратора? Возможно сосёт avcentr.exe через себя. Как я понимаю, у тебя Авира Интернет Секьюрити и включён веб-антивирус?
А каковы проявления утечки трафика?
Может стоит сделать логи по шапке и пусть хелперы посмотрят, если есть такие подозрения.

Добавлено:
Если в системе руткит, предложенными мною методами ничего не увидишь.

KismetT

Цитата:

Запуск от администратора? Возможно сосёт avcentr.exe через себя. Как я понимаю, у тебя Авира Интернет Секьюрити и включён веб-антивирус?

Да, от администратора.
У меня установлена Avira Free 2012.

Цитата:

А каковы проявления утечки трафика?

Постоянно идет прием входящего трафика с 100% загрузкой интернет канала.

Цитата:

Может стоит сделать логи по шапке и пусть хелперы посмотрят, если есть такие подозрения.

virusinfo_syscure.zip
log.txt
info.txt
http://rghost.ru/private/44062966/737a51b87a8221ace52e157d29347a3f
P.S. Полная и жесткая проверка Avira Free 2012 и Dr.Web CureIt! ничего не показала.

Цитата:

Если в системе руткит, предложенными мною методами ничего не увидишь.

а какими методами тогда можно увидеть его?

FUTURiTY
LuckyBoyRussia

Логи в порядке

thyrannosaurus

Цитата:

Логи в порядке

Хм, странно у меня за день в простое набегает почти 10Гб входящего трафика.
Такое может наблюдаться при неисправности сетевой карты и/или adsl модема?

Может просто обновления отключены или фаерволл стоит и трафик не пускает. Или вирус входящее соединение блокирует.

MininNikolay

Цитата:

Может просто обновления отключены или фаерволл стоит и трафик не пускает. Или вирус входящее соединение блокирует.

Хм, ничего не понял.
Какие обновления?
Куда не пускает трафик? (с компьютера трафик рекой идет непойми куда)
Какой вирус? (специалисты из этой темы говорят, что все в порядке)

FUTURiTY
Загляни в личку.

KismetT
Спасибо, отписался.
Таки как трафик поступал так и поступает.
Серьезных уязвимостей не должно быть в системе, так как стоит жесткое автоматическое обновление с Windows Update, каждую неделю апдейтится система.

Цитата:

Серьезных уязвимостей не должно быть в системе

Допустим 2 уже есть, надо устранять.
Можно увидеть скрин по потреблённому трафику?
Во вторых, включай Smartsniff, включай журналирование на все и затем смотри лог, что куда сколько передаёт либо принимает .
Можно также посмотреть данные о трафике в AdapterWatch.

Помогите вылечить Ubuntu 12.10, а то тормоза достали.

Добавлено:
И ещё там явно какой-то троян в даш постоянно спамит.

День добрый знакомые принесли комп , заявленная неисправность . постоянно вылетает банер с порнографическим содержанием , в разных браузерах ( ИЕ , хром, опера) система win7, стоял аваст , поставили каспера просканили , что то поудалял не помогло .загрузили доктор веб с лайф cd, просканили тоже что то нашел удалил , не помогло , просканили малваре , тоже самое , защитник виндоус , еще раз каспер . перед установкой нового предыдущий антивирусник удаляли . поправили файл хост на стандартный, dns сервера поставлены по умолчанию, все плагины в браузерах отключены, прокси сервера не подключены , AVZ сканили несколько раз и прогоняли все что можно , промогите

http://rghost.ru/private/44142334/bd58612005ce1d22339636896cf01eef - info.txt
http://rghost.ru/private/44142397/c1f51a8c7ea27097d4a0e20a3ac68051 - log.txt
http://rghost.ru/44142420 - virisinfo_syscure.zip

Господа, помогите с проблемой в xp! В файерфоксе помнялась домашяя страница с google на home.webalta.ru. Всегда открывается эта страница независимо от настроек браузера, хотя я ихний тулбар удалил. Проверил доктором -чисто, файл Host также чист.Сбросил настройки сети с помощью antisms - без результата.Можно как то все вернуть как было?

sasha313
Раз не отвечает thyrannosaurus, пройдись TDSSKiller, похоже, кроме всего прочего, сидит руткит.

и мои пять копеек
sasha313
в файле host, ваши? чот буквенно-циферные напрягают

Цитата:

======Файл Hosts======
127.0.0.1 000007.ru
127.0.0.1 000cc.com
127.0.0.1 000e05b38ca37fe7e4b82cc63d6c2865.co.cc
127.0.0.1 0055ebba60b74c3603c00cfc2334f5fc.co.cc
127.0.0.1 02begorlae.info
127.0.0.1 02c20c8.netsolhost.com
127.0.0.1 02c8dac.netsolhost.com
127.0.0.1 02d72c3.netsolhost.com
127.0.0.1 0313879956.kt.io
127.0.0.1 033ad83.netsolhost.com

folta
Это похоже осталось от Spybot, у него такая "иммунизация" есть, можно удалять спокойно.

файл host чистили , там ничего не было ,сейчас еще раз подправлю, в общем проверка TDSSKiller выявила три обьекта , после их удаления , а также очистки временных файлов и кэша DNS все пропало. всем спасибо !!!!

День добрый помогите с проблемой в xp! В файерфоксе помнялась домашяя страница с google на home.webalta.ru. Всегда открывается эта страница независимо от настроек браузера, хотя я ихний тулбар удалил. Проверил доктором -чисто, файл Host также чист.Сбросил настройки сети с помощью antisms - без результата.Можно как то все вернуть как было?
Страница оказывается была прописана в свойствах ярлыка браузера.

Gadavre
А глазки трудно вверх страницы поднять?
Если надо побыстрее, то иди на Virusinfo, сюда в последнее время доктора заглядывают не каждый день.

KismetT (21:13 28-02-2013)
Цитата:

сюда в последнее время доктора заглядывают не каждый день.

А смысл заглядывать? Выше есть правила, их выполняет далеко не каждый. Лично мне надоело каждого тыкать носом в шапку.

KismetT

Цитата:

Допустим 2 уже есть, надо устранять.
Можно увидеть скрин по потреблённому трафику?
Во вторых, включай Smartsniff, включай журналирование на все и затем смотри лог, что куда сколько передаёт либо принимает .
Можно также посмотреть данные о трафике в AdapterWatch.

Большое спасибо за помощь.
Проблема решена.
Утечки входящего трафика прекратились сами по себе.
Пока мне не понятно с чем это было связано.

Здравствуйте. Подцепил какую-ту заразу, которая поселилась в System Volume Information не могу от неё избавиться. Заражение произошло, как я предполагаю, следующим образом, в мазиле нажал на баннерную рекламу (установлен у меня ad muncher) появилось сообщение «Ваш компьютер заражен». На тот момент стоял антивирусник microsoft security essentials, он промолчал.
Производил полную проверку поочередно со свежими базами: каспером, нодом 32 плюс лечение вышесказанными утилитами, которые в шапке, не дало положительного результата, переустанавливал ОС - безрезультатно.
На компе два винта (один родной, второй позже подключил до заражения), каждый разбит на три раздела, загажены два раздела на одном и один на втором. Восстановление системы отключено, все точки удалил. Чистил Unlocker каждую папку на всех разделах, после перезагрузки системы, файлы восстанавливаются.
В папке с host файлом периодически пояляется файл: hosts.ics
http://rghost.ru/private/44295671/aa0ff56f35230066abcb974e8d030c4f
второй комп/ноут брата (подключен через wi-fi), у него все чисто.
http://rghost.ru/private/44295228/a218164ed2820c6d48761652b414ed31 - info.txt
http://rghost.ru/private/44295262/2af2f1df5b27e08188d85f1f10aa030d - log.txt

predatormail
virusinfo_syscure.zip - ?

KismetT
http://rghost.ru/private/44296459/0ce25b583b341f240ff090478c869b08

Цитата:

В папке с host файлом периодически пояляется файл: hosts.ics

http://support.microsoft.com/?kbid=309642

KismetT
с этим понятно

Добрый день, снова обращаюсь к вам

После переустановки системы не стал устанавливать антивирус и подхватил какую-то заразу, блокирующую часть функций системы. Сейчас заблокирован диспетчер задач, рабочий стол и даже календарь. Диспетчер разблокируется при помощи AVZ но лишь до ребута. При загрузке файлов из интернета в папку в C:\Documents and Settings\Администратор\Мои документы\Загрузки происходит ошибка. Не все программы из этой папки запускаются - установку Kaspersky Virus Removal Tool запустить не удалось (и после перемещения в другое место). Программа SopCast вылетает с ошибкой.

Проверял антивирусами Ad-Aware и NOD-32 Какие-то угрозы были найдены и якобы удалены, но по сути ничего не изменилось. Судя по наблюдениям, блокируется запись в папку Documents & Settings.

http://rghost.ru/44377942

435PT

Выполните скрипт в AVZ

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\torrent\libstr.bat','');
QuarantineFile('C:\WINDOWS\system32\drivers\gfiark.sys','');
DeleteService('gfiark');
DeleteFile('C:\WINDOWS\system32\drivers\gfiark.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\torrent\libstr.bat');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NwTray');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
RebootWindows(true);
end.

thyrannosaurus
эта информация?


Цитата:

[VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-676938994]
gfiark.sys,
libstr.bat
These files are in process.

а последствия вируса исчезли после введения скрипта. спасибо большое!

http://rghost.ru/44463017

Такая проблема появилась в последнее время и не на одном компе, а на нескольких, поэтому не исключаю, что это может быть вирус.

Система Windows 7 (х64) линцензионный, антивирус НОД32 + Оутпост Секьюрити про 8.0
Все линцензионное.
Но вот с какого момента время от времени система стала просто выключаться. Вкдлючаю снова, работает все нормально. Через некоторое время снова выключается.
Я записал логи после такого выключения. Вот самая последнии запись, падение около часа назад:

17.03.2013 !!!

14:37:37

The previous system shutdown at 14:36:04 on ?17.?03.?2013 was unexpected

14:37:31
The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly.

14:37:38
Audit events have been dropped by the transport. 0

14:37:46
Custom dynamic link libraries are being loaded for every application. The system administrator should review the list of libraries to ensure they are related to trusted applications.

14:39:09
Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

14:40:14
A timeout was reached (30000 milliseconds) while waiting for the Roxio Upnp Server 10 service to connect.

14:40:47
Your computer was not assigned an address from the network (by the DHCP Server) for the Network Card with network address 0x642737CAA8D7. The following error occurred: 0x79. Your computer will continue to try and obtain an address on its own from the network address (DHCP) server.

Помогите понять, в чем проблема!