кто-то активно засирает инет. Помогите найти.
внешний IP 59.53.91.192Китайский.
4. Анализ сетевой активности через каспер и один из бесплатных снифферов показывает, что непонятный процесс ломится по протоколу UDP c разных портов моего компа на внешний IP 59.53.91.192 на 80 порт. Много раз за секунду. К сожалению, кто это делает, он не показывает.попробуй какой-нибудь commview
К сожалению, кто это делает, он не показывает.netstat тебе в помощь.
PS Гугль говорит, что это Trojan Zbot
to и
netstat и commview ссылаются на System.
netstat и commview ссылаются на System.
PS Гугль говорит, что это Trojan Zbotпопытка вылечиться от него с помощью ZbotKiller показала, что программа не нашла вирус в системе.
http://virusinfo.info
Сделай логи AVZ, как написано в правилах сайта по ссылке, залей туда. Хелперы скажут, что делать дальше.
Сделай логи AVZ, как написано в правилах сайта по ссылке, залей туда. Хелперы скажут, что делать дальше.
Проверил AVZ в безопасном режиме, когда эта падлюка лезла в инет. Он написал, что UDP протокол используется, но все нормуль. На сайте не писал - времени не было. Снимал хард с виндой, относил на кафедру, где стоит обновленный каспер. Он прошелся по всему харду, но тоже ничего не нашел. Сейчас попробовал подключить только тот хард, отключив другие. Полчаса - полет нормальный. Правда, эта зараза иногда и сама не высовывается, поэтому говорить о том, что проблема пофиксена, имхо, рано.
Вообще, давно хотел поставить win7 (сейчас ХР). Этот случай как раз способствует этому. Однако что-то мне не хочется отказываться от работающей круглосуточно и как часы ХР.
В любом случае спасибо большое за совет. Если что-то продвинется, я отпишусь, чтобы народ знал, если что.
Вообще, давно хотел поставить win7 (сейчас ХР). Этот случай как раз способствует этому. Однако что-то мне не хочется отказываться от работающей круглосуточно и как часы ХР.
В любом случае спасибо большое за совет. Если что-то продвинется, я отпишусь, чтобы народ знал, если что.
Посмотри в проге Process Explorer, действительно ли это SYSTEM и если он - то какой из его тредов проявляет при этом большую ативность (максимум CSwitch delta или по загрузке ЦП ну и имя стартового файла этого треда — в гугл. Вдруг поможет.
то что каспер нашёл пару троянов, и от этого у вас нет удивления и гугления — впечатляет я б сделал вывод что система уже засрана и почему-то не приняты меры безопасности.
то что каспер нашёл пару троянов, и от этого у вас нет удивления и гугления — впечатляет
я б сделал вывод что система уже засрана и почему-то не приняты меры безопасности.процесс эксплорер тоже ссылался на system. Правда, дальше я не смотрел.
Тут в чем заковыка: lsass.exe не всегда грузит проц. Как я писал выше, после "включения" этого процесса несколько меняется график сетевой активности, но не более того. Поэтому, возможно, его работа уже связана с последствиями вируса.
К вопросу о зараженности компа и найденных вирусах: вообще, я тщательно слежу за этим вопросом: последние обновления винды, негуляние по подозрительным местам и сайтам, проверка всех флешек и т.л. Помимо этого стоит касперский, которым я периодически проверяю систему. Вирусы, правда, все равно проникают временами, но в большинстве случаев это связано с моей девушкой, которая залезает куда-нить типа грина или приносит паленую флешку как раз в тот редкий момент, когда я отключив каспер, чтобы погаматься, на полчаса его забыл включить... Но обычно полная своевременная проверка избавляла от всех гадостей, по крайней мере система работала нормально.
ОДнако в этот раз я уехал на 2 недели, и у подруги был полный доступ к компу на все это время. Что она тут делала, я не знаю. Утверждает, что ничего. Но факт есть факт - вирусня тут завелась. То, что я не отреагировал на найденные вирусы связано с тем, что фигня продолжалась и после того, как вирусы были найдены. И даже после того, как я снял хард с системой и проверил его на другом компе тем же каспером с последними базами.
Согласен, я был неправ и недостаточно бдителен, но, блин, обидно, что я плачу бабки за каспера, а он не то, что не может найти вирус, а даже никак не реагирует на столь очевидный факт, как нескончаемая долбежка в инет.
Ладно, посмотрим, что получится. Пока все работает, хотя ничего найдено не было. (AVZ, кстати, тоже ничего подозрительного не нашел).
Тут в чем заковыка: lsass.exe не всегда грузит проц. Как я писал выше, после "включения" этого процесса несколько меняется график сетевой активности, но не более того. Поэтому, возможно, его работа уже связана с последствиями вируса.
К вопросу о зараженности компа и найденных вирусах: вообще, я тщательно слежу за этим вопросом: последние обновления винды, негуляние по подозрительным местам и сайтам, проверка всех флешек и т.л. Помимо этого стоит касперский, которым я периодически проверяю систему. Вирусы, правда, все равно проникают временами, но в большинстве случаев это связано с моей девушкой, которая залезает куда-нить типа грина или приносит паленую флешку как раз в тот редкий момент, когда я отключив каспер, чтобы погаматься, на полчаса его забыл включить... Но обычно полная своевременная проверка избавляла от всех гадостей, по крайней мере система работала нормально.
ОДнако в этот раз я уехал на 2 недели, и у подруги был полный доступ к компу на все это время. Что она тут делала, я не знаю. Утверждает, что ничего. Но факт есть факт - вирусня тут завелась. То, что я не отреагировал на найденные вирусы связано с тем, что фигня продолжалась и после того, как вирусы были найдены. И даже после того, как я снял хард с системой и проверил его на другом компе тем же каспером с последними базами.
Согласен, я был неправ и недостаточно бдителен, но, блин, обидно, что я плачу бабки за каспера, а он не то, что не может найти вирус, а даже никак не реагирует на столь очевидный факт, как нескончаемая долбежка в инет.
Ладно, посмотрим, что получится. Пока все работает, хотя ничего найдено не было. (AVZ, кстати, тоже ничего подозрительного не нашел).
Ответ очевиден, необходимо два компонента: Linux и мозг 
После проверки каспером на другом компе, хотя и ничего обнаружено не было, но внешние признаки вирь перестал подавать. Правда, всего на пару дней. Потом вновь активировался, но теперь "спамил" другой IP адрес.
Подробнее изучая деятельность lsass.exe нашел, что он активно юзает RPCRT4.dll, загружаяя процессор.
Погуглил, ничего особого не нашел, кроме того, что периодически народ просто заменяет этот файл другим. Попробовал это сделать из резервных копий, но ничего не получилось.
Потом я качнул SP3 и решил поставить его заново (хотя он уже стоял в системе в надежде, что он обновит этот файл. Но мои ожидания не оправдались.
На данный момент я уже полностью решился на переход к win7, а чтобы пока была возможность работать с компом, каспером заблокировал этот IP-адрес. (у меня KIS). Пока все работает.
P.S. к слову скажу, что вирус флешки не гадит.
Подробнее изучая деятельность lsass.exe нашел, что он активно юзает RPCRT4.dll, загружаяя процессор.
Погуглил, ничего особого не нашел, кроме того, что периодически народ просто заменяет этот файл другим. Попробовал это сделать из резервных копий, но ничего не получилось.
Потом я качнул SP3 и решил поставить его заново (хотя он уже стоял в системе в надежде, что он обновит этот файл. Но мои ожидания не оправдались.
На данный момент я уже полностью решился на переход к win7, а чтобы пока была возможность работать с компом, каспером заблокировал этот IP-адрес. (у меня KIS). Пока все работает.
P.S. к слову скажу, что вирус флешки не гадит.
Оставить комментарий
wildsoul
Что-то по возвращении из командировки у меня одни траблы с компом. Сегодня обнаружилось, что у меня не работает инет. Какой-то непонятный процесс полностью засирает канал и не дает никому пробиться через него. Сразу скажу, что пока я был не здесь, мне говорили, что инет не работает, но когда я вернулся, два дня он был. Началось сегодня днем. Т.е. какой-то периодический процесс.Итак:
1. Локалка и форум работают нормально. Проблемы с инетом. Судя по диспетчеру задач кто-то либо нагружает сетевуху где-то на 10%, причем такое ощущение, что выше просто что-то его отрубает - образуются полочки; либо лупит пилой до 30%.
2. Периодически процессор начинает жрать процесс lsass.exe, помогает только перезагрузка. Но сетевая активность если и зависит от степени загрузки этим процессом, то не очевидно.
3. Проверил каспером (который по-идее должен быть всегда включен и не должен был пропустить виря но он нашел пару троянов, а потом сказал, что все пучком. В системной памяти он ничего не находит. Повторную проверку сделаю на ночь (уж больно долго она идет).
4. Анализ сетевой активности через каспер и один из бесплатных снифферов показывает, что непонятный процесс ломится по протоколу UDP c разных портов моего компа на внешний IP 59.53.91.192 на 80 порт. Много раз за секунду. К сожалению, кто это делает, он не показывает.
5. netstat -b ссылается на SYSTEM
Собственно, такие вот симптомы. В безопасном режиме все то же самое.
Как найти заразу?
Заранее благодарен за ответы.