105523 0 Опубликовано 26 января, 2010 Share Опубликовано 26 января, 2010 Есть сервер и 4 компьютера (на всех каспер лиценз) подключенных к нему. Провайдер отключил интернет из-за огромного исходящего трафика. Перебрал все антивирусы чтобы выловить, поставил фаервол, посмотрел TCPView ером.... Много непонятного Что это за рассылка на IP 87.236.186.4 и 87.236.185.130 непонятно Помимо логов прилагаю скрины фаервола и тспвьювера Ищу помощи virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 26 января, 2010 Share Опубликовано 26 января, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
105523 0 Опубликовано 26 января, 2010 Автор Share Опубликовано 26 января, 2010 Комбо не работает с 2003 сервером Цитата Ссылка на сообщение Поделиться на другие сайты
hinote 116 Опубликовано 26 января, 2010 Share Опубликовано 26 января, 2010 (изменено) Что это за рассылка на IP 87.236.186.4 и 87.236.185.130 непонятно Помимо логов прилагаю скрины фаервола и тспвьювера O17 - HKLM\System\CCS\Services\Tcpip\..\{03485771-61AD-497C-969A-3DE153B88DEB}: NameServer = 87.236.186.4,87.236.185.130 DNS сервера это ваши... нормальные это или поддельные - сами смотрите и трафик соответственно - скорее всего DNS UDP. если бы в сниффере был виден remote port - сразу бы это было видно... где вы все это смотрели? на сервере? или на станциях? смысл делать логи и пытаться лечить чистый сервер, если заражены 1 или несколько рабочих станций? какой "Каспер лицензия" на рабочих станциях? Изменено 26 января, 2010 пользователем hinote Цитата Ссылка на сообщение Поделиться на другие сайты
105523 0 Опубликовано 26 января, 2010 Автор Share Опубликовано 26 января, 2010 Да айпи это провайдера... тут интереснее другое, что слишком много пакетов в еденицу времени, и в сумме 900 Мб в сутки. Каспер лицензия - это 9.0.0.459 Цитата Ссылка на сообщение Поделиться на другие сайты
hinote 116 Опубликовано 26 января, 2010 Share Опубликовано 26 января, 2010 нормальным сниффером (wireshark) соберите пакеты - и будет понятно, что так часто пытаются отрезолвить... и с какого компа, кстати - чтобы было кого лечить и где уже смотреть на логи лечащих утилит на самом деле имхо 2-10 DNS запросов в секунду от 4х компьютеров - не так и много, вполне может софтинка какая криво написанная ломится, а ей вон не дают на файрволле... ночью то такая же ситуация, когда компы не используются пользователями? Цитата Ссылка на сообщение Поделиться на другие сайты
105523 0 Опубликовано 29 января, 2010 Автор Share Опубликовано 29 января, 2010 (изменено) Вот логи нескольких компьютеров сети Надеюсь на Вашу помощь hijackthisгендир.log hijackthisГН.log hijackthisЛеди.log virusinfo_syscureГенДир.zip virusinfo_syscureГН.zip virusinfo_syscureЛеди.zip Изменено 29 января, 2010 пользователем 105523 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 29 января, 2010 Share Опубликовано 29 января, 2010 Каждый ПК в отдельную тему. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.