Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   что-то жрет траффик!!! (http://forum.oszone.net/showthread.php?t=87986)

vit777 02-08-2007 15:48 621921
что-то жрет траффик!!!
 
Приветствую!
При выходе в инет что-то начинает жрать траффик со скоростью по 10 Мбт (инет выделенный) за 2-3 минутки. Обновил бесплатную Avira проверка нашла заразу, все не жалея удалил (еще проверил и бесплатным вебером, а на eset.com on-line после 20 Мбт загрузки пришлось обрывать связь итак влегкую 50 руб. сожрало). После перезапуска винды (xp sp2) авира орет что файлы ip6fw.sys (как понял файл брандмаузера) и runtime.sys заражены удалить их не удалось. Хотя проверка запущенных процессов ничего не дает. Изучение запущенных процессов в Евересте тоже мне ничего дельного не дала (не силен я в этом).
Подскажите, плиз, что это за монстр поселился и как его найти и обезвредить.

SilentSpider 02-08-2007 15:55 621926
http://www.top.virusinfo.info/showthread.php?p=124821
http://forum.kaspersky.com/lofiversi...hp/t34543.html

vit777 02-08-2007 20:21 622123
Спасибо за ссылки, но ничего там не помогло.
На одной дается совет скачать прогу AVZ и прогнать скрипт. Скачал ( с большим трудом - связь падает прям на глазах - видать этот монстр все захватывает), но при запуске этого скрипта или просто при запуске сканера - AVZ виснет и все тут.
Скачать Касперского уже денег нет да и при такой связи это вряд ли возможно. На http://www.virustotal.com проверил файлы wimlogon.exe и ip6fw.sys - ничего не нашел, а файл runtime.exe куда-то исчезает.
Единственное, что понял надо удалить файлы, описанные выше, в том числе и из автозагрузки. Но как? Зашел в безопасном режиме - удалил файл, а он опять появляется.
Неужели только форматировать диск и ставить вчистую винду?
Возникла еще одна мысль - может AVZ глючит c Avira Antivir.

Igor_I 02-08-2007 20:35 622129
vit777,
Отключите восстановление системы иначе лечение будет бесполезным!
Это читал?
Насколько я понимаю, фаервола нет вообще, как класса. Расплачивайся :)

vit777 02-08-2007 21:07 622143
Восстановление системы отключено.
Фаервола нет - вот и расплачиваюсь уже целый день бьюсь.
А при вводе скрипта возникает - синий экран с ошибкой
Fastfat.sys - adress F83E4640 base at F83E4000. Date stamp 41107eb7
Че делать уже и не знаю.

Igor_I 02-08-2007 21:47 622157
Попробуй в безопасном режиме.
Цитата:
Цитата vit777
Изучение запущенных процессов в Евересте тоже мне ничего дельного не дала (не силен я в этом).
Тут не сколько название процесса, сколько его местоположение.
Вместо эвереста пользуюсь стартером (Starter )
Также подозрительно выглядят файлы созданные недавно, месяц-два назад.

vit777 02-08-2007 23:49 622191
Вложений: 1
Удалось запустить AVZ, используя функцию AVZGuard (блокировка ядра). Нашлась куча программ с маскирующемся KernelRootkite (файл прикреплен).
И что теперь делать пока не соображу уже голова не варит.

Greyman 03-08-2007 01:29 622206
Цитата:
Цитата vit777
И что теперь делать пока не соображу уже голова не варит >>>
Цитата:
Цитата vit777
прогу AVZ и прогнать скрипт. >>>
Нужно было прогнать скрипт, чтобы отрубить висящие в памяти руткиты:
Файл - Стандартные скрипты - №ё (Поиск и нейтрализация RootKit...)
После этого еще раз проверь машину, как самим AVZ, так и антивирусом со свежими базами (теперь руткит отключен и они должны находить соответствующие файлы)...

vit777 03-08-2007 03:21 622236
Цитата:
Цитата Greyman
Нужно было прогнать скрипт, чтобы отрубить висящие в памяти руткиты
Пробовал - синий экран с ошибкой fastfat.sys adress f83e4640 base at f83e4000 data stamp 41107eb7

Samsonov 04-08-2007 16:19 622945
Мне давно было любопытно, есть ли какие-нибудь программы, которые позволяют в реальном времени мониторить трафик каждого процесса по каждому порту? Например, в таком виде:
Код:
Процесс              Порт/Тип  Текущ  Сутки  Неделя  Месяц
--------------------------------------------------------------
Apache.exe            80/in  50 K/s  120 MB  800 MB  2500 MB
IExplore.exe        3128/out  незап.  10 MB  50 MB  200 MB
IPerf.exe              IP/in    0 K/s    0 MB    0 MB  1000 MB
                      IP/out  0 K/s    0 MB    0 MB  1000 MB
SVChost.exe          139/in    0 K/s  100 MB  150 MB  200 MB
                      139/out  0 K/s  400 MB  800 MB  1500 MB
UnrealIRC.exe        6667/in    3 K/s  80 MB  500 MB  2000 MB
UpdateServices.exe    80/out  0 K/s    1 MB  250 MB  800 MB
                    8530/in    0 K/s    5 MB  650 MB  1500 MB
(естественно, тип порта — входящий или исходящий (сервер или клиент) — настраивается в каждом случае вручную)

То есть не следить за вирусами, а контролировать расход трафика вполне легитимных приложений и служб. Известные мне программы брандмауэрного или сисинфошного типа предлагают только просмотр списка существующих в данный момент сокетов; возможно, ещё текущую суммарную загруженность каждого сетевого интерфейса. Или там ведение статистики по объёму веб-трафика. Это всё не то, так произвольные программы не проконтролируешь.

vit777 04-08-2007 18:02 622979
Да уж так было бы проще найти паразитов. А то как у меня что-то куда-то чего-то посылает или получает. Возможно это была отправка спама через мой комп. Как выяснилось баловался RootKite - есть такая зараза, при чем антивирусы его не находят, так как он типа не вирус.
http://www.top.virusinfo.info/ - именно там подсобили, просто в каждом случае нужно писать скрипты (иногда и несколько раз как в моем случае).

Fen1x 05-08-2007 15:55 623252
vit777 поставь Outpost Firewall и проследи какая из программ лезит в инет.


Время: 07:02.

Время: 07:02.
© OSzone.net 2001-