|
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!
Здравствуйте, гость ( Вход | Регистрация )
Сейчас обсуждают
 
| |
[Решено] После сетевой атаки, Dos.Generick.SynFlood |
|
|
Azu Nighter |
1.3.2011, 13:02
|
\\\__Γοζιτο Ερζο Συμ__///
Группа: Аццкий Клуб
Сообщений: 7 122
Регистрация: 27.1.2010
Из: Между Светом и Тьмой.
Пользователь №: 202 771
Репутация: 463
|
После сетевой атаки зависла винда, после перезагрузки кое-как запустилась, снова зависла, после чего вообще не запускалась, даже в безопасном. Спустя некоторое время, не знаю каким чудом, запустилась. Проверка Kaspersky Internet Security 2010, CureIt(в обычном и безопасном), AVZ ни чего не выявила. Система подтормаживает, хотя явной нагрузки каким-либо процессом на ЦП не наблюдается, ровно как и жёсткие не загружены . Посмотрите, может чего обнаружите. Логи AVZ и HijackThis:
virusinfo_syscure.zip ( 41.31 килобайт )
Кол-во скачиваний: 46
virusinfo_syscheck.zip ( 43.82 килобайт )
Кол-во скачиваний: 44
hijackthis.rar ( 4.11 килобайт )
Кол-во скачиваний: 46
|
|
|
|
Laperuz |
1.3.2011, 16:52
|
Любит поговорить
Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512
Репутация: 52
|
Здравствуйте,откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); QuarantineFile('donotload_mscoree.dll',''); QuarantineFile('C:\WINDOWS\FANTAS~1.SCR',''); QuarantineFile('C:\Program Files\A!K Research Labs\Off-road\OffRoad.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\AsrCDDrv.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> заменить на @) В Hijackthis пофиксить следующие строки: Код R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present C:\Program Files\PROWiSe\PROWiSe.exe сами ставили? Повторите логи.
» Спасибо сказали: «
|
|
|
|
Azu Nighter |
1.3.2011, 18:29
|
\\\__Γοζιτο Ερζο Συμ__///
Группа: Аццкий Клуб
Сообщений: 7 122
Регистрация: 27.1.2010
Из: Между Светом и Тьмой.
Пользователь №: 202 771
Репутация: 463
|
Цитата(Laperuz @ 1.3.2011, 17:52) » Спойлер (нажмите, чтобы прочесть) « Здравствуйте,откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); QuarantineFile('donotload_mscoree.dll',''); QuarantineFile('C:\WINDOWS\FANTAS~1.SCR',''); QuarantineFile('C:\Program Files\A!K Research Labs\Off-road\OffRoad.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\AsrCDDrv.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> заменить на @) В Hijackthis пофиксить следующие строки: Код R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present C:\Program Files\PROWiSe\PROWiSe.exe сами ставили? Повторите логи. В безопасном режиме можно выполнить скрипты? Обычная винда уже не грузится, доходит до приветствия и всё . Да и безопасный тоже еле-еле запускается.
|
|
|
|
Azu Nighter |
1.3.2011, 19:31
|
\\\__Γοζιτο Ερζο Συμ__///
Группа: Аццкий Клуб
Сообщений: 7 122
Регистрация: 27.1.2010
Из: Между Светом и Тьмой.
Пользователь №: 202 771
Репутация: 463
|
Всё же удалось завести хрюшку Цитата(Laperuz @ 1.3.2011, 17:52) Здравствуйте,откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: » Спойлер (нажмите, чтобы прочесть) « Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); QuarantineFile('donotload_mscoree.dll',''); QuarantineFile('C:\WINDOWS\FANTAS~1.SCR',''); QuarantineFile('C:\Program Files\A!K Research Labs\Off-road\OffRoad.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\AsrCDDrv.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Откройте AVZ,выберите меню файл-выполнить скрипт.Скопируйте данный скрипт,нажмите запустить: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ создастся архив с именем quarantine.zip. Полученный архив отправьте на адрес malware<at>russia.ru(<at> заменить на @) В Hijackthis пофиксить следующие строки: » Спойлер (нажмите, чтобы прочесть) « Код R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present C:\Program Files\PROWiSe\PROWiSe.exe сами ставили? Повторите логи. Выполнил. Отправил. Пофиксил. Да, давно уже пользуюсь, нареканий не вызывает, расширенный диспетчер задач. Логи:
virusinfo_syscure.zip ( 43.06 килобайт )
Кол-во скачиваний: 48
virusinfo_syscheck.zip ( 43.05 килобайт )
Кол-во скачиваний: 47
hijackthis.rar ( 4.07 килобайт )
Кол-во скачиваний: 63Сообщение отредактировал Azu Nighter - 1.3.2011, 19:43
|
|
|
|
Laperuz |
1.3.2011, 19:56
|
Любит поговорить
Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512
Репутация: 52
|
Письмо почему-то без вложения пришло,попробуйте еще раз отправить. И еще дополнительно на Laperuz2009<at>ya.ru Давайте попробуем поглубже исследовать: выполните приложение 8 темы http://forum.sibnet.ru/index.php?showtopic=332224
» Спасибо сказали: «
|
|
|
|
Azu Nighter |
1.3.2011, 19:58
|
\\\__Γοζιτο Ερζο Συμ__///
Группа: Аццкий Клуб
Сообщений: 7 122
Регистрация: 27.1.2010
Из: Между Светом и Тьмой.
Пользователь №: 202 771
Репутация: 463
|
Цитата(Laperuz @ 1.3.2011, 20:56) Письмо почему-то без вложения пришло,попробуйте еще раз отправить. И еще дополнительно на Laperuz2009<at>ya.ru Давайте попробуем поглубже исследовать: выполните приложение 8 темы http://forum.sibnet.ru/index.php?showtopic=332224Может тогда я на файл залью?) И в ЛС отправлю вместе с паролем.
|
|
|
|
Feo |
1.3.2011, 20:05
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Цитата(Laperuz @ 1.3.2011, 18:56) Письмо почему-то без вложения пришло,попробуйте еще раз отправить. И еще дополнительно на Laperuz2009<at>ya.ru
В веб интерфейсе с вложением Только что проверил.
» Спасибо сказали: «
|
|
|
|
Azu Nighter |
1.3.2011, 21:13
|
\\\__Γοζιτο Ερζο Συμ__///
Группа: Аццкий Клуб
Сообщений: 7 122
Регистрация: 27.1.2010
Из: Между Светом и Тьмой.
Пользователь №: 202 771
Репутация: 463
|
Цитата(Laperuz @ 1.3.2011, 22:01) Он до конца отработал? Лог должен был открыться после окончания работы ComboFix. И лог gmer не качается.
Нет, выдал ошибку, что-то про неправильность скрипта. Цитата Were you trying to run CFScript?
The name, CFScript appears to be incorrectly spelt. Лог gmer: http://file.sibnet.ru/get/file/?id=969020Сообщение отредактировал Azu Nighter - 1.3.2011, 21:17
|
|
|
|
Laperuz |
1.3.2011, 21:35
|
Любит поговорить
Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512
Репутация: 52
|
Цитата(Azu Nighter @ 1.3.2011, 22:13) Нет, выдал ошибку, что-то про неправильность скрипта.
Странно,эта ошибка не должна выдаваться пока скрипт не выполняем...Попробуйте полностью удалить ComboFix (Пуск-выполнить,введите ComboFix /u (перед /u пробел)). Затем снова попробуйте запустить ComboFix с рабочего стола.
» Спасибо сказали: «
|
|
|
|
Feo |
1.3.2011, 22:33
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
При атаке Dos.Generic.SYNFlood торможение компьютера - явление обычное. Можете показать лог журнала KIS? Где бы указывалась информация об атаке. И дайте лог AVZ (Сервис - Открытые порты TCP/UDP) - Сохранить протокол
» Спасибо сказали: «
|
|
|
|
Laperuz |
1.3.2011, 22:38
|
Любит поговорить
Группа: Пользователи
Сообщений: 291
Регистрация: 4.11.2009
Из: Иркутск
Пользователь №: 158 512
Репутация: 52
|
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Временно выключите антивирус, firewall и другое защитное программное обеспечение Код FileLook:: c:\windows\system32\easyUpdatusAPIU.dll c:\windows\iun6002.exe c:\windows\system32\deployJava1.dll c:\windows\system32\Drivers\AsrCDDrv.sys c:\windows\regedit.exe
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
» Спасибо сказали: «
|
|
|
|
Feo |
1.3.2011, 23:03
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Цитата(Azu Nighter @ 1.3.2011, 21:36) Сейчас сделаю
Не грузит...
» Спасибо сказали: «
|
|
|
|
Azu Nighter |
1.3.2011, 23:57
|
\\\__Γοζιτο Ερζο Συμ__///
Группа: Аццкий Клуб
Сообщений: 7 122
Регистрация: 27.1.2010
Из: Между Светом и Тьмой.
Пользователь №: 202 771
Репутация: 463
|
Извиняюсь, связь пропала). Цитата(Laperuz @ 1.3.2011, 23:38) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Временно выключите антивирус, firewall и другое защитное программное обеспечение » Спойлер (нажмите, чтобы прочесть) « Код FileLook:: c:\windows\system32\easyUpdatusAPIU.dll c:\windows\iun6002.exe c:\windows\system32\deployJava1.dll c:\windows\system32\Drivers\AsrCDDrv.sys c:\windows\regedit.exe
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Лог: http://file.sibnet.ru/get/file/?id=969123Цитата(Feo @ 2.3.2011, 0:03) Не грузит... Что-то в последнее время не ладное с аттачами на форуме творится( Залил на файл http://file.sibnet.ru/get/file/?id=969127
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|