Перейти к содержанию

Отказ в обслуживании


Рекомендуемые сообщения

Здравствуйте!

На одном из компьютеров локальной сети установлен Symantec Endpoint Protection.

 

Он регулярно блокирует трафик с роутера (192.168.0.1):

"Трафик с IP-адреса 192.168.0.1 блокирован с 05.11.2013 14:01:05 до 05.11.2013 14:11:05."
 

"Обнаружена атака "UDP Flood Attack" типа Отказ в обслуживании. 
Описание: 
 На компьютере было создано чрезвычайно большое количество пакетов UDP, что привело к стопроцентной загрузке процессора."

На других компьютерах сети другие антивирусные программы, которые ничего подобного не выдают.

Приводить ли логи конкретно с этого компьютера или копать в другом месте сети?  
Ссылка на сообщение
Поделиться на другие сайты

деинсталлируйте потенциально несовместимое ПО

Advanced SystemCare 6

проверьте диск D на ошибки (включая поверхность)

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.
http://support.kaspersky.ru/faq/?qid=208635705
Важно: выбирать AVP Tool Driver.

 

Исправьте через AVZ - файл - поиск и устарнение проблем:

>> Нарушение ассоциации SCR файлов
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений

 

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

новые логи AVZ приложите.

 

 

Сделайте лог AdwCleaner
http://safezone.cc/forum/showthread.php?t=19726

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

удалите в MBAM

 

C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

 

 

новый лог приложите.

 

 

2 файла проверьте на virustotal.com

C:\Program Files\LouderIt\LConfig.exe
C:\Program Files\Kodeks\Kodeks v6\kodeks.exe

 

 

2 ссылки на результат проверки приложите.

 

 

в Adwcleaner после проверки снимите отметки с элементов Mail.ru и нажмите Clean

новый лог приложите.

 

чуть позднее ещё будет скрипт на удаление AdVare

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Логи прилагаю.

 

 

 

 

2 файла проверьте на virustotal.com

C:\Program Files\LouderIt\LConfig.exe
C:\Program Files\Kodeks\Kodeks v6\kodeks.exe

2 ссылки на результат проверки приложите.

 

 

Ссылка (второй файл на компьютере не найден):

https://www.virustotal.com/ru/file/28e57d415eb5598d4c4f9b50caf806bc4769d66ac1ad994610f4665caa217208/analysis/1384767537/

 

 

AdwCleanerR2.txt

mbam-log-2013-11-18 (12-15-39).txt

Ссылка на сообщение
Поделиться на другие сайты

деинсталлируйте MBAM

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('SecureUpdateSvc', 4);
QuarantineFile('C:\Program Files\Kodeks\Kodeks v6\kodeks.exe','');
QuarantineFile('C:\Program Files\Secure Speed Dial\IE\SecureUpdate.exe','');
QuarantineFile('C:\PROGRA~1\SECURE~1\IE\SPEEDD~1.DLL','');
QuarantineFile('C:\Program Files\LouderIt\LConfig.exe',' ');
DeleteFile('C:\Program Files\LouderIt\LConfig.exe',' ');
DeleteFile('C:\PROGRA~1\SECURE~1\IE\SPEEDD~1.DLL','32');
DeleteFile('C:\Program Files\Secure Speed Dial\IE\SecureUpdate.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Kodeks update.job','32');
DeleteFile('C:\Program Files\Kodeks\Kodeks v6\kodeks.exe','32');
DelBHO('48A789BF-F6D6-4930-9C8B-77855A63EDE1');
DeleteService('SecureUpdateSvc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Сделайте новые логи по правилам.
Ссылка на сообщение
Поделиться на другие сайты

Ответ и новые логи:
 

[VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1199665537]
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.   If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab   This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link:http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

bcqr00007.dat,
bcqr00008.dat,
SPEEDD~1.DLL

These files are in process.

SecureUpdate.exe

No malicious code was found in this file.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.comhttp://www.viruslist.com"

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Ссылка на сообщение
Поделиться на другие сайты

UDP flood атака повторяется?


деинсталлируйте AccelerateTab

проверьте, чтобы удалились папка и файл

C:\Program Files\Secure Speed Dial
C:\WINDOWS\system32\sqlite3.dll

проверьте на virustotal.com файл

C:\WINDOWS\system32\iacenc.dll

ссылку на результат проверки приложите

 

удалите файлы



2013-09-25 14:31:08 ----A---- C:\WINDOWS\system32\SETDB8.tmp
2013-09-25 14:31:03 ----A---- C:\WINDOWS\system32\SETD59.tmp
2013-09-25 14:31:01 ----N---- C:\WINDOWS\system32\SETD2F.tmp
2013-09-25 14:30:55 ----A---- C:\WINDOWS\system32\SETD02.tmp
2013-09-25 14:30:53 ----A---- C:\WINDOWS\system32\SETBAC.tmp
2013-09-25 14:30:52 ----N---- C:\WINDOWS\system32\SETB6B.tmp
2013-09-25 14:30:52 ----A---- C:\WINDOWS\system32\SETBA3.tmp
2013-09-25 14:30:43 ----A---- C:\WINDOWS\system32\SETA38.tmp
2013-09-25 14:30:41 ----N---- C:\WINDOWS\system32\SETA35.tmp
2013-09-25 14:30:33 ----A---- C:\WINDOWS\system32\SET80F.tmp
2013-09-25 14:30:31 ----A---- C:\WINDOWS\system32\SET80A.tmp
2013-09-25 14:30:20 ----A---- C:\WINDOWS\system32\SET7D0.tmp
2013-09-25 14:29:13 ----A---- C:\WINDOWS\system32\SETE91.tmp
2013-09-25 14:29:13 ----A---- C:\WINDOWS\system32\SETE90.tmp
2013-09-25 14:29:12 ----A---- C:\WINDOWS\system32\SETE89.tmp
2013-09-25 14:29:11 ----A---- C:\WINDOWS\system32\SETE8E.tmp
2013-09-25 14:29:11 ----A---- C:\WINDOWS\system32\SETE88.tmp
2013-09-25 14:29:11 ----A---- C:\WINDOWS\system32\SETE87.tmp
2013-09-25 14:29:10 ----A---- C:\WINDOWS\system32\SETE97.tmp
2013-09-25 14:28:46 ----A---- C:\WINDOWS\system32\SET67F.tmp
2013-09-25 14:28:39 ----A---- C:\WINDOWS\system32\SET65B.tmp
2013-09-25 14:27:55 ----A---- C:\WINDOWS\system32\SET633.tmp
2013-09-25 14:27:48 ----A---- C:\WINDOWS\system32\SET62A.tmp
2013-09-25 14:27:47 ----A---- C:\WINDOWS\system32\SET62B.tmp
2013-09-25 14:27:41 ----A---- C:\WINDOWS\system32\SET5DB.tmp
2013-09-25 14:27:33 ----A---- C:\WINDOWS\system32\SET5D7.tmp
2013-09-25 14:27:33 ----A---- C:\WINDOWS\system32\SET5D6.tmp
2013-09-25 14:26:36 ----A---- C:\WINDOWS\system32\SET47E.tmp
2013-09-25 14:26:35 ----A---- C:\WINDOWS\system32\SET442.tmp
2013-09-25 14:23:56 ----A---- C:\WINDOWS\system32\SET7F9.tmp
2013-09-25 14:19:58 ----A---- C:\WINDOWS\system32\SET334.tmp
Ссылка на сообщение
Поделиться на другие сайты

Удалил  и деинсталлировал.

Ссылку прилагаю:

https://www.virustotal.com/ru/file/7e5abbfab1dda70e415488042a2dc558599ad45aff406ce3babb9a4276e254e8/analysis/1384845700/

Атака продолжается... ((
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте ComboFix:
- нажмите Win+R
- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
Скачайте OTCleanIt, запустите, нажмите Clean up

 

в момент, когда обнаруживаются атаки, запустите AVZ - сервис - открытые порты TCP UDP - сохранить

полученный лог avz_ports.htm приложите

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...