Как избавиться от троянского вируса?

25.08.2011, 03:58. **Показов** 6531. **Ответов** 1

Студворк — интернет-сервис помощи студентам

В сетке из ~ 10 машин c AD на 2003, словили троян.

симптомы - юзеры говорят нет инета, путем долгого и безрезультатного пинания провайдера, определили - инет есть - но как в анекдоте - пациент скорее мертв чем жив: роутер через 30 сек после выключения - включения тупо зависал

везде запустил netstat и

практически на всех машинах видим примерно следующее
TCP server:4615 ip-156.net-81-27-28.rev.euroconnect.fr:ms-wbt-server SYN_SENT 368
TCP server:4616 100.179.55.10:ms-wbt-server SYN_SENT 368
TCP server:4617 softbank221049030115.bbtec.net:ms-wbt-server SYN_SENT 368
TCP server:4618 106.69.140.239:ms-wbt-server SYN_SENT 368
TCP server:4619 207.146.113.2:ms-wbt-server SYN_SENT 368
TCP server:4620 ptr-90-158-140-113.is.net.tr:ms-wbt-server SYN_SENT 368
TCP server:4621 155.71.159.144:ms-wbt-server SYN_SENT 368
TCP server:4622 host18-109-static.253-95-b.business.telecomitalia.it:ms-wbt-server SYN_SENT 368
TCP server:4623 183.115.89.6:ms-wbt-server SYN_SENT 368
TCP server:4624 dsl-189-235-47-197-dyn.prod-infinitum.com.mx:ms-wbt-server SYN_SENT 368
TCP server:4625 216-243-115-237.abq.static.fttx.citylinkfiber.net:ms-wbt-server SYN_SENT 368
TCP server:4626 wrls-249-140-174.wrls-client.fas.harvard.edu:ms-wbt-server SYN_SENT 368
TCP server:4627 163.244.195.184:ms-wbt-server SYN_SENT 368
TCP server:4628 pw126247051021.7.tik.panda-world.ne.jp:ms-wbt-server SYN_SENT 368
TCP server:4629 102.38.3.136:ms-wbt-server SYN_SENT 368
TCP server:4630 193.71.194.77.rev.sfr.net:ms-wbt-server SYN_SENT 368
TCP server:4631 adsl-74-240-182-184.msy.bellsouth.net:ms-wbt-server SYN_SENT 368
TCP server:4632 dhcp36-229.lewis.army.mil:ms-wbt-server SYN_SENT 368
TCP server:4633 125.97.108.125:ms-wbt-server SYN_SENT 368
TCP server:4634 20.32.223.2:ms-wbt-server SYN_SENT 368
TCP server:4635 209.158.71.177:ms-wbt-server SYN_SENT 368
TCP server:4636 45.184.115.83:ms-wbt-server SYN_SENT 368
TCP server:4637 210.157.188.60.broad.tz.zj.dynamic.163da ta.com.cn:ms-wbt-server SYN_SENT 368
TCP server:4638 55.9.138.102:ms-wbt-server SYN_SENT 368
TCP server:4639 ool-457bba1d.dyn.optonline.net:ms-wbt-server SYN_SENT 368
TCP server:4640 56.29.160.200:ms-wbt-server SYN_SENT 368
TCP server:4641 139.44.136.16:ms-wbt-server SYN_SENT 368
TCP server:4642 191.252.183.14:ms-wbt-server SYN_SENT 368
TCP server:4643 153.74.67.198:ms-wbt-server SYN_SENT 368
TCP server:4644 19.30.49.68:ms-wbt-server SYN_SENT 368
TCP server:4645 125x100x63x159.ap125.ftth.ucom.ne.jp:ms-wbt-server SYN_SENT 368
TCP server:4646 133.132.65.9:ms-wbt-server SYN_SENT 368
TCP server:4647 141.186.174.60:ms-wbt-server SYN_SENT 368
TCP server:4648 55.196.232.181:ms-wbt-server SYN_SENT 368
TCP server:4649 44.244.119.39:ms-wbt-server SYN_SENT 368
TCP server:4650 128.203.96.100:ms-wbt-server SYN_SENT 368
TCP server:4651 73.129.86.132:ms-wbt-server SYN_SENT 368
TCP server:4652 63.134.47.135:ms-wbt-server SYN_SENT 368
TCP server:4653 66.73.36.2:ms-wbt-server SYN_SENT 368
TCP server:4654 76.34.96.97:ms-wbt-server SYN_SENT 368
поставил ису - оказалось что кроме RDP наружу еще активно фигачат DNS запросы
запретил и RDP и DNS ( DNS разрешил только серверу)
инет появился

Для того чтобы представить насколько эта бяка активно долбится, включил лог для ИСЫ на SQL-e, за пару дней база с логом исы выросла до 61GB

, кол-во записей перевалило за 213 миллионов

ProcessExplorer показывает следующее: (картинки во вложениях)

После того как инет защитил Исой , эта бяка стала (правда не очень активно) долбиться к пользователям , и соответсвенно когда подключение происходит от имени админа, юзера просто выкидывает - им остается только перегружаться

MS Essential, Каспер , AVG , DRWeb ничего не видят, гугл не на вопрос как дальше жить (или хотя бы подсказать что это за бяка) тоже отвечать не хочет, ПАМАГИТЕ !!!!

@Katharsis · 25.08.2011, 09:05

обращайтесь https://www.cyberforum.ru/viruses/

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

mk76

	Как избавиться от троянского вируса? 25.08.2011, 03:58. Показов 6531. Ответов 1 Метки нет (Все метки) В сетке из ~ 10 машин c AD на 2003, словили троян. симптомы - юзеры говорят нет инета, путем долгого и безрезультатного пинания провайдера, определили - инет есть - но как в анекдоте - пациент скорее мертв чем жив: роутер через 30 сек после выключения - включения тупо зависал везде запустил netstat и практически на всех машинах видим примерно следующее TCP server:4615 ip-156.net-81-27-28.rev.euroconnect.fr:ms-wbt-server SYN_SENT 368 TCP server:4616 100.179.55.10:ms-wbt-server SYN_SENT 368 TCP server:4617 softbank221049030115.bbtec.net:ms-wbt-server SYN_SENT 368 TCP server:4618 106.69.140.239:ms-wbt-server SYN_SENT 368 TCP server:4619 207.146.113.2:ms-wbt-server SYN_SENT 368 TCP server:4620 ptr-90-158-140-113.is.net.tr:ms-wbt-server SYN_SENT 368 TCP server:4621 155.71.159.144:ms-wbt-server SYN_SENT 368 TCP server:4622 host18-109-static.253-95-b.business.telecomitalia.it:ms-wbt-server SYN_SENT 368 TCP server:4623 183.115.89.6:ms-wbt-server SYN_SENT 368 TCP server:4624 dsl-189-235-47-197-dyn.prod-infinitum.com.mx:ms-wbt-server SYN_SENT 368 TCP server:4625 216-243-115-237.abq.static.fttx.citylinkfiber.net:ms-wbt-server SYN_SENT 368 TCP server:4626 wrls-249-140-174.wrls-client.fas.harvard.edu:ms-wbt-server SYN_SENT 368 TCP server:4627 163.244.195.184:ms-wbt-server SYN_SENT 368 TCP server:4628 pw126247051021.7.tik.panda-world.ne.jp:ms-wbt-server SYN_SENT 368 TCP server:4629 102.38.3.136:ms-wbt-server SYN_SENT 368 TCP server:4630 193.71.194.77.rev.sfr.net:ms-wbt-server SYN_SENT 368 TCP server:4631 adsl-74-240-182-184.msy.bellsouth.net:ms-wbt-server SYN_SENT 368 TCP server:4632 dhcp36-229.lewis.army.mil:ms-wbt-server SYN_SENT 368 TCP server:4633 125.97.108.125:ms-wbt-server SYN_SENT 368 TCP server:4634 20.32.223.2:ms-wbt-server SYN_SENT 368 TCP server:4635 209.158.71.177:ms-wbt-server SYN_SENT 368 TCP server:4636 45.184.115.83:ms-wbt-server SYN_SENT 368 TCP server:4637 210.157.188.60.broad.tz.zj.dynamic.163da ta.com.cn:ms-wbt-server SYN_SENT 368 TCP server:4638 55.9.138.102:ms-wbt-server SYN_SENT 368 TCP server:4639 ool-457bba1d.dyn.optonline.net:ms-wbt-server SYN_SENT 368 TCP server:4640 56.29.160.200:ms-wbt-server SYN_SENT 368 TCP server:4641 139.44.136.16:ms-wbt-server SYN_SENT 368 TCP server:4642 191.252.183.14:ms-wbt-server SYN_SENT 368 TCP server:4643 153.74.67.198:ms-wbt-server SYN_SENT 368 TCP server:4644 19.30.49.68:ms-wbt-server SYN_SENT 368 TCP server:4645 125x100x63x159.ap125.ftth.ucom.ne.jp:ms-wbt-server SYN_SENT 368 TCP server:4646 133.132.65.9:ms-wbt-server SYN_SENT 368 TCP server:4647 141.186.174.60:ms-wbt-server SYN_SENT 368 TCP server:4648 55.196.232.181:ms-wbt-server SYN_SENT 368 TCP server:4649 44.244.119.39:ms-wbt-server SYN_SENT 368 TCP server:4650 128.203.96.100:ms-wbt-server SYN_SENT 368 TCP server:4651 73.129.86.132:ms-wbt-server SYN_SENT 368 TCP server:4652 63.134.47.135:ms-wbt-server SYN_SENT 368 TCP server:4653 66.73.36.2:ms-wbt-server SYN_SENT 368 TCP server:4654 76.34.96.97:ms-wbt-server SYN_SENT 368 поставил ису - оказалось что кроме RDP наружу еще активно фигачат DNS запросы запретил и RDP и DNS ( DNS разрешил только серверу) инет появился Для того чтобы представить насколько эта бяка активно долбится, включил лог для ИСЫ на SQL-e, за пару дней база с логом исы выросла до 61GB , кол-во записей перевалило за 213 миллионов ProcessExplorer показывает следующее: (картинки во вложениях) После того как инет защитил Исой , эта бяка стала (правда не очень активно) долбиться к пользователям , и соответсвенно когда подключение происходит от имени админа, юзера просто выкидывает - им остается только перегружаться MS Essential, Каспер , AVG , DRWeb ничего не видят, гугл не на вопрос как дальше жить (или хотя бы подсказать что это за бяка) тоже отвечать не хочет, ПАМАГИТЕ !!!! Миниатюры

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	25.08.2011, 09:05
	обращайтесь https://www.cyberforum.ru/viruses/ 0