Сейчас обсуждают
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru! Здравствуйте, гость ( Вход | Регистрация ) Сейчас обсуждают
| |||||||||||||||||||||||||||||||||||||||||||
  |
[Решено] После сетевой атаки, Dos.Generick.SynFlood   |
| Azu Nighter |
 1.3.2011, 13:02
Сообщение
#1
|
 \\\__Γοζιτο Ερζο Συμ__///  Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация:  463   |
После сетевой атаки зависла винда, после перезагрузки кое-как запустилась, снова зависла, после чего вообще не запускалась, даже в безопасном.
Спустя некоторое время, не знаю каким чудом, запустилась. Проверка Kaspersky Internet Security 2010, CureIt(в обычном и безопасном), AVZ ни чего не выявила. Система подтормаживает, хотя явной нагрузки каким-либо процессом на ЦП не наблюдается, ровно как и жёсткие не загружены  .Посмотрите, может чего обнаружите. Логи AVZ и HijackThis: 
virusinfo_syscure.zip ( 41.31 килобайт )
Кол-во скачиваний: 46
virusinfo_syscheck.zip ( 43.82 килобайт )
Кол-во скачиваний: 44
hijackthis.rar ( 4.11 килобайт )
Кол-во скачиваний: 46 |
   |
 
|
| Laperuz |
1.3.2011, 16:52
Сообщение
#2
|
 Любит поговорить  Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Здравствуйте,откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить:
Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); QuarantineFile('donotload_mscoree.dll',''); QuarantineFile('C:\WINDOWS\FANTAS~1.SCR',''); QuarantineFile('C:\Program Files\A!K Research Labs\Off-road\OffRoad.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\AsrCDDrv.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> заменить на @) В Hijackthis пофиксить следующие строки: Код R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present C:\Program Files\PROWiSe\PROWiSe.exe сами ставили? Повторите логи. » Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 18:29
Сообщение
#3
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Цитата(Laperuz @ 1.3.2011, 17:52)  » Спойлер (нажмите, чтобы прочесть) « В безопасном режиме можно выполнить скрипты? Обычная винда уже не грузится, доходит до приветствия и всё .Да и безопасный тоже еле-еле запускается. |
|
|
|
| Laperuz |
1.3.2011, 18:52
Сообщение
#4
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Странно, в логах я ничего такого, что могло бы это вызывать, не увидел...Да,пробуйте в безопасном.
» Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 19:31
Сообщение
#5
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Всё же удалось завести хрюшку
 Цитата(Laperuz @ 1.3.2011, 17:52) Здравствуйте,откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: » Спойлер (нажмите, чтобы прочесть) « В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> заменить на @) В Hijackthis пофиксить следующие строки: » Спойлер (нажмите, чтобы прочесть) « C:\Program Files\PROWiSe\PROWiSe.exe сами ставили? Повторите логи. Выполнил. Отправил. Пофиксил. Да, давно уже пользуюсь, нареканий не вызывает, расширенный диспетчер задач. Логи:
virusinfo_syscure.zip ( 43.06 килобайт )
Кол-во скачиваний: 48
virusinfo_syscheck.zip ( 43.05 килобайт )
Кол-во скачиваний: 47
hijackthis.rar ( 4.07 килобайт )
Кол-во скачиваний: 63Сообщение отредактировал Azu Nighter - 1.3.2011, 19:43 |
|
|
|
| Laperuz |
1.3.2011, 19:56
Сообщение
#6
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Письмо почему-то без вложения пришло,попробуйте еще раз отправить. И еще дополнительно на Laperuz2009<at>ya.ru
Давайте попробуем поглубже исследовать: выполните приложение 8 темы http://forum.sibnet.ru/index.php?showtopic=332224 » Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 19:58
Сообщение
#7
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Цитата(Laperuz @ 1.3.2011, 20:56) Письмо почему-то без вложения пришло,попробуйте еще раз отправить. И еще дополнительно на Laperuz2009<at>ya.ru Давайте попробуем поглубже исследовать: выполните приложение 8 темы http://forum.sibnet.ru/index.php?showtopic=332224 Может тогда я на файл залью?) И в ЛС отправлю вместе с паролем. |
|
|
|
| Laperuz |
1.3.2011, 20:02
Сообщение
#8
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Ок)
|
|
|
|
| Feo |
1.3.2011, 20:05
Сообщение
#9
|
 МЕГА флудер  Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
Цитата(Laperuz @ 1.3.2011, 18:56) Письмо почему-то без вложения пришло,попробуйте еще раз отправить. И еще дополнительно на Laperuz2009<at>ya.ru В веб интерфейсе с вложением  Только что проверил.» Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 20:55
Сообщение
#10
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Цитата(Laperuz @ 1.3.2011, 20:56) Давайте попробуем поглубже исследовать: выполните приложение 8 темы http://forum.sibnet.ru/index.php?showtopic=332224 ComboFix ничего после себя не оставляет , т.е. "C:\ComboFix.txt" нету, только папки C:\ComboFix и C:\QooboxСообщение отредактировал Azu Nighter - 1.3.2011, 20:59 |
|
|
|
| Laperuz |
1.3.2011, 21:01
Сообщение
#11
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Он до конца отработал? Лог должен был открыться после окончания работы ComboFix. И лог gmer не качается.
» Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 21:13
Сообщение
#12
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Цитата(Laperuz @ 1.3.2011, 22:01) Он до конца отработал? Лог должен был открыться после окончания работы ComboFix. И лог gmer не качается. Нет, выдал ошибку, что-то про неправильность скрипта. Цитата Were you trying to run CFScript? The name, CFScript appears to be incorrectly spelt. Лог gmer: http://file.sibnet.ru/get/file/?id=969020 Сообщение отредактировал Azu Nighter - 1.3.2011, 21:17 |
|
|
|
| Laperuz |
1.3.2011, 21:35
Сообщение
#13
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Цитата(Azu Nighter @ 1.3.2011, 22:13) Нет, выдал ошибку, что-то про неправильность скрипта. Странно,эта ошибка не должна выдаваться пока скрипт не выполняем...Попробуйте полностью удалить ComboFix (Пуск-выполнить,введите ComboFix /u (перед /u пробел)). Затем снова попробуйте запустить ComboFix с рабочего стола. » Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 22:00
Сообщение
#14
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Цитата(Laperuz @ 1.3.2011, 22:35) Странно,эта ошибка не должна выдаваться пока скрипт не выполняем...Попробуйте полностью удалить ComboFix (Пуск-выполнить,введите ComboFix /u (перед /u пробел)). Затем снова попробуйте запустить ComboFix с рабочего стола. Вроде как вот так http://file.sibnet.ru/get/file/?id=969067 |
|
|
|
| Feo |
1.3.2011, 22:33
Сообщение
#15
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
При атаке Dos.Generic.SYNFlood торможение компьютера - явление обычное.
Можете показать лог журнала KIS? Где бы указывалась информация об атаке. И дайте лог AVZ (Сервис - Открытые порты TCP/UDP) - Сохранить протокол » Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 22:36
Сообщение
#16
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Цитата(Feo @ 1.3.2011, 23:33) При атаке Dos.Generic.SYNFlood торможение компьютера - явление обычное. Можете показать лог журнала KIS? Где бы указывалась информация об атаке. И дайте лог AVZ (Сервис - Открытые порты TCP/UDP) - Сохранить протокол Сейчас сделаю Сообщение отредактировал Azu Nighter - 1.3.2011, 22:42 |
|
|
|
| Laperuz |
1.3.2011, 22:38
Сообщение
#17
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Временно выключите антивирус, firewall и другое защитное программное обеспечение Код FileLook:: c:\windows\system32\easyUpdatusAPIU.dll c:\windows\iun6002.exe c:\windows\system32\deployJava1.dll c:\windows\system32\Drivers\AsrCDDrv.sys c:\windows\regedit.exe После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. » Спасибо сказали: «
|
|
|
|
| Feo |
1.3.2011, 23:03
Сообщение
#18
|
|
МЕГА флудер Группа: VIP Сообщений: 8 239 Регистрация: 1.8.2007 Из: Новосибирск Пользователь №: 3 050 |
Цитата(Azu Nighter @ 1.3.2011, 21:36) Сейчас сделаю Не грузит...  » Спасибо сказали: «
|
|
|
|
| Azu Nighter |
1.3.2011, 23:57
Сообщение
#19
|
|
\\\__Γοζιτο Ερζο Συμ__/// Группа: Аццкий Клуб Сообщений: 7 122 Регистрация: 27.1.2010 Из: Между Светом и Тьмой. Пользователь №: 202 771 Репутация: 463 |
Извиняюсь, связь пропала).
Цитата(Laperuz @ 1.3.2011, 23:38) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Временно выключите антивирус, firewall и другое защитное программное обеспечение » Спойлер (нажмите, чтобы прочесть) « После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Лог: http://file.sibnet.ru/get/file/?id=969123 Цитата(Feo @ 2.3.2011, 0:03) Не грузит... Что-то в последнее время не ладное с аттачами на форуме творится( Залил на файл http://file.sibnet.ru/get/file/?id=969127 |
|
|
|
| Laperuz |
2.3.2011, 1:06
Сообщение
#20
|
|
Любит поговорить Группа: Пользователи Сообщений: 291 Регистрация: 4.11.2009 Из: Иркутск Пользователь №: 158 512 Репутация: 52 |
В логах чисто. Как компьютер?
» Спасибо сказали: «
|
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
| Текстовая версия | Сейчас: 27.4.2024, 22:24 |
