105523 Опубликовано 26 января, 2010 Поделиться Опубликовано 26 января, 2010 Есть сервер и 4 компьютера (на всех каспер лиценз) подключенных к нему. Провайдер отключил интернет из-за огромного исходящего трафика. Перебрал все антивирусы чтобы выловить, поставил фаервол, посмотрел TCPView ером.... Много непонятного Что это за рассылка на IP 87.236.186.4 и 87.236.185.130 непонятно Помимо логов прилагаю скрины фаервола и тспвьювера Ищу помощи virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 26 января, 2010 Поделиться Опубликовано 26 января, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
105523 Опубликовано 26 января, 2010 Автор Поделиться Опубликовано 26 января, 2010 Комбо не работает с 2003 сервером Ссылка на комментарий Поделиться на другие сайты Поделиться
hinote Опубликовано 26 января, 2010 Поделиться Опубликовано 26 января, 2010 (изменено) Что это за рассылка на IP 87.236.186.4 и 87.236.185.130 непонятно Помимо логов прилагаю скрины фаервола и тспвьювера O17 - HKLM\System\CCS\Services\Tcpip\..\{03485771-61AD-497C-969A-3DE153B88DEB}: NameServer = 87.236.186.4,87.236.185.130 DNS сервера это ваши... нормальные это или поддельные - сами смотрите и трафик соответственно - скорее всего DNS UDP. если бы в сниффере был виден remote port - сразу бы это было видно... где вы все это смотрели? на сервере? или на станциях? смысл делать логи и пытаться лечить чистый сервер, если заражены 1 или несколько рабочих станций? какой "Каспер лицензия" на рабочих станциях? Изменено 26 января, 2010 пользователем hinote Ссылка на комментарий Поделиться на другие сайты Поделиться
105523 Опубликовано 26 января, 2010 Автор Поделиться Опубликовано 26 января, 2010 Да айпи это провайдера... тут интереснее другое, что слишком много пакетов в еденицу времени, и в сумме 900 Мб в сутки. Каспер лицензия - это 9.0.0.459 Ссылка на комментарий Поделиться на другие сайты Поделиться
hinote Опубликовано 26 января, 2010 Поделиться Опубликовано 26 января, 2010 нормальным сниффером (wireshark) соберите пакеты - и будет понятно, что так часто пытаются отрезолвить... и с какого компа, кстати - чтобы было кого лечить и где уже смотреть на логи лечащих утилит на самом деле имхо 2-10 DNS запросов в секунду от 4х компьютеров - не так и много, вполне может софтинка какая криво написанная ломится, а ей вон не дают на файрволле... ночью то такая же ситуация, когда компы не используются пользователями? Ссылка на комментарий Поделиться на другие сайты Поделиться
105523 Опубликовано 29 января, 2010 Автор Поделиться Опубликовано 29 января, 2010 (изменено) Вот логи нескольких компьютеров сети Надеюсь на Вашу помощь hijackthisгендир.log hijackthisГН.log hijackthisЛеди.log virusinfo_syscureГенДир.zip virusinfo_syscureГН.zip virusinfo_syscureЛеди.zip Изменено 29 января, 2010 пользователем 105523 Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 29 января, 2010 Поделиться Опубликовано 29 января, 2010 Каждый ПК в отдельную тему. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти