Yudjin 0 Опубликовано 5 ноября, 2013 Share Опубликовано 5 ноября, 2013 Здравствуйте!На одном из компьютеров локальной сети установлен Symantec Endpoint Protection. Он регулярно блокирует трафик с роутера (192.168.0.1):"Трафик с IP-адреса 192.168.0.1 блокирован с 05.11.2013 14:01:05 до 05.11.2013 14:11:05." "Обнаружена атака "UDP Flood Attack" типа Отказ в обслуживании. Описание: На компьютере было создано чрезвычайно большое количество пакетов UDP, что привело к стопроцентной загрузке процессора."На других компьютерах сети другие антивирусные программы, которые ничего подобного не выдают.Приводить ли логи конкретно с этого компьютера или копать в другом месте сети? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 ноября, 2013 Share Опубликовано 5 ноября, 2013 сделайте на проблемной машине. Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 13 ноября, 2013 Автор Share Опубликовано 13 ноября, 2013 Логи прилагаю virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 ноября, 2013 Share Опубликовано 13 ноября, 2013 деинсталлируйте потенциально несовместимое ПО Advanced SystemCare 6 проверьте диск D на ошибки (включая поверхность) Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.http://support.kaspersky.ru/faq/?qid=208635705Важно: выбирать AVP Tool Driver. Исправьте через AVZ - файл - поиск и устарнение проблем: >> Нарушение ассоциации SCR файлов>> Таймаут завершения процессов находится за пределами допустимых значений>> Таймаут завершения служб находится за пределами допустимых значений Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) новые логи AVZ приложите. Сделайте лог AdwCleanerhttp://safezone.cc/forum/showthread.php?t=19726 Скачайте Malwarebytes' Anti-Malware здесь или здесь.Установите mbam-setup-<current number>.exeОткажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 15 ноября, 2013 Автор Share Опубликовано 15 ноября, 2013 Новые логи прилагаю. virusinfo_syscure.zip virusinfo_syscheck.zip AdwCleanerR0.txt MBAM-log-2013-11-15 (13-49-49).txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 ноября, 2013 Share Опубликовано 15 ноября, 2013 удалите в MBAM C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. новый лог приложите. 2 файла проверьте на virustotal.com C:\Program Files\LouderIt\LConfig.exe C:\Program Files\Kodeks\Kodeks v6\kodeks.exe 2 ссылки на результат проверки приложите. в Adwcleaner после проверки снимите отметки с элементов Mail.ru и нажмите Clean новый лог приложите. чуть позднее ещё будет скрипт на удаление AdVare Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 18 ноября, 2013 Автор Share Опубликовано 18 ноября, 2013 Логи прилагаю. 2 файла проверьте на virustotal.com C:\Program Files\LouderIt\LConfig.exe C:\Program Files\Kodeks\Kodeks v6\kodeks.exe 2 ссылки на результат проверки приложите. Ссылка (второй файл на компьютере не найден):https://www.virustotal.com/ru/file/28e57d415eb5598d4c4f9b50caf806bc4769d66ac1ad994610f4665caa217208/analysis/1384767537/ AdwCleanerR2.txt mbam-log-2013-11-18 (12-15-39).txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 ноября, 2013 Share Опубликовано 18 ноября, 2013 деинсталлируйте MBAM Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('SecureUpdateSvc', 4); QuarantineFile('C:\Program Files\Kodeks\Kodeks v6\kodeks.exe',''); QuarantineFile('C:\Program Files\Secure Speed Dial\IE\SecureUpdate.exe',''); QuarantineFile('C:\PROGRA~1\SECURE~1\IE\SPEEDD~1.DLL',''); QuarantineFile('C:\Program Files\LouderIt\LConfig.exe',' '); DeleteFile('C:\Program Files\LouderIt\LConfig.exe',' '); DeleteFile('C:\PROGRA~1\SECURE~1\IE\SPEEDD~1.DLL','32'); DeleteFile('C:\Program Files\Secure Speed Dial\IE\SecureUpdate.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Kodeks update.job','32'); DeleteFile('C:\Program Files\Kodeks\Kodeks v6\kodeks.exe','32'); DelBHO('48A789BF-F6D6-4930-9C8B-77855A63EDE1'); DeleteService('SecureUpdateSvc'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 18 ноября, 2013 Автор Share Опубликовано 18 ноября, 2013 Ответ и новые логи: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1199665537] Hello,This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link:http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. bcqr00007.dat,bcqr00008.dat,SPEEDD~1.DLLThese files are in process.SecureUpdate.exeNo malicious code was found in this file.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com" virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 ноября, 2013 Share Опубликовано 18 ноября, 2013 UDP flood атака повторяется? деинсталлируйте AccelerateTab проверьте, чтобы удалились папка и файл C:\Program Files\Secure Speed Dial C:\WINDOWS\system32\sqlite3.dll проверьте на virustotal.com файл C:\WINDOWS\system32\iacenc.dll ссылку на результат проверки приложите удалите файлы 2013-09-25 14:31:08 ----A---- C:\WINDOWS\system32\SETDB8.tmp 2013-09-25 14:31:03 ----A---- C:\WINDOWS\system32\SETD59.tmp 2013-09-25 14:31:01 ----N---- C:\WINDOWS\system32\SETD2F.tmp 2013-09-25 14:30:55 ----A---- C:\WINDOWS\system32\SETD02.tmp 2013-09-25 14:30:53 ----A---- C:\WINDOWS\system32\SETBAC.tmp 2013-09-25 14:30:52 ----N---- C:\WINDOWS\system32\SETB6B.tmp 2013-09-25 14:30:52 ----A---- C:\WINDOWS\system32\SETBA3.tmp 2013-09-25 14:30:43 ----A---- C:\WINDOWS\system32\SETA38.tmp 2013-09-25 14:30:41 ----N---- C:\WINDOWS\system32\SETA35.tmp 2013-09-25 14:30:33 ----A---- C:\WINDOWS\system32\SET80F.tmp 2013-09-25 14:30:31 ----A---- C:\WINDOWS\system32\SET80A.tmp 2013-09-25 14:30:20 ----A---- C:\WINDOWS\system32\SET7D0.tmp 2013-09-25 14:29:13 ----A---- C:\WINDOWS\system32\SETE91.tmp 2013-09-25 14:29:13 ----A---- C:\WINDOWS\system32\SETE90.tmp 2013-09-25 14:29:12 ----A---- C:\WINDOWS\system32\SETE89.tmp 2013-09-25 14:29:11 ----A---- C:\WINDOWS\system32\SETE8E.tmp 2013-09-25 14:29:11 ----A---- C:\WINDOWS\system32\SETE88.tmp 2013-09-25 14:29:11 ----A---- C:\WINDOWS\system32\SETE87.tmp 2013-09-25 14:29:10 ----A---- C:\WINDOWS\system32\SETE97.tmp 2013-09-25 14:28:46 ----A---- C:\WINDOWS\system32\SET67F.tmp 2013-09-25 14:28:39 ----A---- C:\WINDOWS\system32\SET65B.tmp 2013-09-25 14:27:55 ----A---- C:\WINDOWS\system32\SET633.tmp 2013-09-25 14:27:48 ----A---- C:\WINDOWS\system32\SET62A.tmp 2013-09-25 14:27:47 ----A---- C:\WINDOWS\system32\SET62B.tmp 2013-09-25 14:27:41 ----A---- C:\WINDOWS\system32\SET5DB.tmp 2013-09-25 14:27:33 ----A---- C:\WINDOWS\system32\SET5D7.tmp 2013-09-25 14:27:33 ----A---- C:\WINDOWS\system32\SET5D6.tmp 2013-09-25 14:26:36 ----A---- C:\WINDOWS\system32\SET47E.tmp 2013-09-25 14:26:35 ----A---- C:\WINDOWS\system32\SET442.tmp 2013-09-25 14:23:56 ----A---- C:\WINDOWS\system32\SET7F9.tmp 2013-09-25 14:19:58 ----A---- C:\WINDOWS\system32\SET334.tmp Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 19 ноября, 2013 Автор Share Опубликовано 19 ноября, 2013 Удалил и деинсталлировал.Ссылку прилагаю:https://www.virustotal.com/ru/file/7e5abbfab1dda70e415488042a2dc558599ad45aff406ce3babb9a4276e254e8/analysis/1384845700/Атака продолжается... (( Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2013 Share Опубликовано 20 ноября, 2013 Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exeПодробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1 Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 20 ноября, 2013 Автор Share Опубликовано 20 ноября, 2013 Прилагаю ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2013 Share Опубликовано 20 ноября, 2013 Деинсталлируйте ComboFix:- нажмите Win+R- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"Скачайте OTCleanIt, запустите, нажмите Clean up в момент, когда обнаруживаются атаки, запустите AVZ - сервис - открытые порты TCP UDP - сохранить полученный лог avz_ports.htm приложите Цитата Ссылка на сообщение Поделиться на другие сайты
Yudjin 0 Опубликовано 22 ноября, 2013 Автор Share Опубликовано 22 ноября, 2013 Выполнил. Лог прилагаю. avz_ports.htm Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.