Форум программистов, компьютерный форум, киберфорум
Администрирование Windows
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.57/30: Рейтинг темы: голосов - 30, средняя оценка - 4.57
mk76
1

Как избавиться от троянского вируса?

25.08.2011, 03:58. Показов 5879. Ответов 1
Метки нет (Все метки)

В сетке из ~ 10 машин c AD на 2003, словили троян.

симптомы - юзеры говорят нет инета, путем долгого и безрезультатного пинания провайдера, определили - инет есть - но как в анекдоте - пациент скорее мертв чем жив: роутер через 30 сек после выключения - включения тупо зависал
везде запустил netstat и
практически на всех машинах видим примерно следующее
TCP server:4615 ip-156.net-81-27-28.rev.euroconnect.fr:ms-wbt-server SYN_SENT 368
TCP server:4616 100.179.55.10:ms-wbt-server SYN_SENT 368
TCP server:4617 softbank221049030115.bbtec.net:ms-wbt-server SYN_SENT 368
TCP server:4618 106.69.140.239:ms-wbt-server SYN_SENT 368
TCP server:4619 207.146.113.2:ms-wbt-server SYN_SENT 368
TCP server:4620 ptr-90-158-140-113.is.net.tr:ms-wbt-server SYN_SENT 368
TCP server:4621 155.71.159.144:ms-wbt-server SYN_SENT 368
TCP server:4622 host18-109-static.253-95-b.business.telecomitalia.it:ms-wbt-server SYN_SENT 368
TCP server:4623 183.115.89.6:ms-wbt-server SYN_SENT 368
TCP server:4624 dsl-189-235-47-197-dyn.prod-infinitum.com.mx:ms-wbt-server SYN_SENT 368
TCP server:4625 216-243-115-237.abq.static.fttx.citylinkfiber.net:ms-wbt-server SYN_SENT 368
TCP server:4626 wrls-249-140-174.wrls-client.fas.harvard.edu:ms-wbt-server SYN_SENT 368
TCP server:4627 163.244.195.184:ms-wbt-server SYN_SENT 368
TCP server:4628 pw126247051021.7.tik.panda-world.ne.jp:ms-wbt-server SYN_SENT 368
TCP server:4629 102.38.3.136:ms-wbt-server SYN_SENT 368
TCP server:4630 193.71.194.77.rev.sfr.net:ms-wbt-server SYN_SENT 368
TCP server:4631 adsl-74-240-182-184.msy.bellsouth.net:ms-wbt-server SYN_SENT 368
TCP server:4632 dhcp36-229.lewis.army.mil:ms-wbt-server SYN_SENT 368
TCP server:4633 125.97.108.125:ms-wbt-server SYN_SENT 368
TCP server:4634 20.32.223.2:ms-wbt-server SYN_SENT 368
TCP server:4635 209.158.71.177:ms-wbt-server SYN_SENT 368
TCP server:4636 45.184.115.83:ms-wbt-server SYN_SENT 368
TCP server:4637 210.157.188.60.broad.tz.zj.dynamic.163data.com.cn:ms-wbt-server SYN_SENT 368
TCP server:4638 55.9.138.102:ms-wbt-server SYN_SENT 368
TCP server:4639 ool-457bba1d.dyn.optonline.net:ms-wbt-server SYN_SENT 368
TCP server:4640 56.29.160.200:ms-wbt-server SYN_SENT 368
TCP server:4641 139.44.136.16:ms-wbt-server SYN_SENT 368
TCP server:4642 191.252.183.14:ms-wbt-server SYN_SENT 368
TCP server:4643 153.74.67.198:ms-wbt-server SYN_SENT 368
TCP server:4644 19.30.49.68:ms-wbt-server SYN_SENT 368
TCP server:4645 125x100x63x159.ap125.ftth.ucom.ne.jp:ms-wbt-server SYN_SENT 368
TCP server:4646 133.132.65.9:ms-wbt-server SYN_SENT 368
TCP server:4647 141.186.174.60:ms-wbt-server SYN_SENT 368
TCP server:4648 55.196.232.181:ms-wbt-server SYN_SENT 368
TCP server:4649 44.244.119.39:ms-wbt-server SYN_SENT 368
TCP server:4650 128.203.96.100:ms-wbt-server SYN_SENT 368
TCP server:4651 73.129.86.132:ms-wbt-server SYN_SENT 368
TCP server:4652 63.134.47.135:ms-wbt-server SYN_SENT 368
TCP server:4653 66.73.36.2:ms-wbt-server SYN_SENT 368
TCP server:4654 76.34.96.97:ms-wbt-server SYN_SENT 368
поставил ису - оказалось что кроме RDP наружу еще активно фигачат DNS запросы
запретил и RDP и DNS ( DNS разрешил только серверу)
инет появился
Для того чтобы представить насколько эта бяка активно долбится, включил лог для ИСЫ на SQL-e, за пару дней база с логом исы выросла до 61GB , кол-во записей перевалило за 213 миллионов

ProcessExplorer показывает следующее: (картинки во вложениях)

После того как инет защитил Исой , эта бяка стала (правда не очень активно) долбиться к пользователям , и соответсвенно когда подключение происходит от имени админа, юзера просто выкидывает - им остается только перегружаться

MS Essential, Каспер , AVG , DRWeb ничего не видят, гугл не на вопрос как дальше жить (или хотя бы подсказать что это за бяка) тоже отвечать не хочет, ПАМАГИТЕ !!!!
Миниатюры
Как избавиться от троянского вируса?   Как избавиться от троянского вируса?  
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
25.08.2011, 03:58
Ответы с готовыми решениями:

Как избавиться от вируса?
Здравствуйте. Помогите избавиться от вируса. Официальные сайты Касперского и Доктор Веб не...

Как избавиться от вируса?
Привет! Вчера поймал вирус от которого пока не могу никак избавиться. Лечил прогами:...

Как избавиться от вируса
Я ни как не могу избавиться от этого вируса NOD32 ни чего не может с ним сделать....подскажите как...

как избавиться от вируса
здравствуйте! при открытии браузера Яндекс открывается браузер Internet Explorer с ссылками...

1
Заблокирован
25.08.2011, 09:05 2
обращайтесь https://www.cyberforum.ru/viruses/
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
25.08.2011, 09:05
Помогаю со студенческими работами здесь

Как избавиться от рекламного вируса?
Подцепила рекламный вирусник, касперский его даже не видит. Не смотря на расширения в браузерах, то...

Как избавиться от китайского вируса
Скачала нечаянно негаданно китайский вирус помогите блондинке от него избавиться

Как избавиться от постоянно рождающегося вируса?
В папке system32 утилита cureIt.exe ловит вирус rsrazuo.dll и удаляет его, но он появляется снова и...

Подскажите, как избавиться от данного вируса
в интернете наткнулся на вот это . это правда что такой вирус даже в безопасном режиме работает?...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
2
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru