Размещено 05.03.2015 13:13:00
Господа, помогите нейтрализовать приложение, которое в фоне отправляет icmp пакеты.
Изменено: rasskaz - 05.03.2015 21:25:36
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
Как можно вычислить процесс, который шлёт icmp-пакеты
Размещено 08.03.2015 01:00:27
Прошу прощения, что не оформил как следует.
Сообщение в журнале:
"Обнаружена уязвимость скрытого канала в icmp-пакете"
Сообщение в журнале:
"Обнаружена уязвимость скрытого канала в icmp-пакете"
Размещено 08.03.2015 18:21:11
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\ZD SOFT\SCREEN RECORDER\SCNREC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DAMEWARE DEVELOPMENT\DAMEWARE NT UTILITIES\DWRCCMD.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\AIMERSOFT\VIDEO CONVERTER ULTIMATE\VIDEOCONVERTERULTIMATE.EXE
hide %SystemRoot%\INSTALLER\{C3CC4DF5-39A5-4027-B136-2B3E1F5AB6E3}\PYTHON_ICON.EXE
;------------------------autoscript---------------------------
chklst
delvir
; Java(TM) 6 Update 29 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416029FF} /quiet
deldir %SystemDrive%\PROGRAM FILES (X86)\SHOPPERPRO
deltmp
delnfr
;-------------------------------------------------------------
restart |
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Размещено 09.03.2015 19:40:46
Сделал всё как сказали.
Старые проблемы остались. Из замеченного: появились пинги к соседним компьютерам в локальной сети.
Какие действия действия предпринимать дальше?
Старые проблемы остались. Из замеченного: появились пинги к соседним компьютерам в локальной сети.
Какие действия действия предпринимать дальше?
Размещено 09.03.2015 22:39:50
| Цитата |
|---|
| santy написал: далее, сделайте дополнительно быструю проверку системы в малваребайт |
Размещено 10.03.2015 11:19:14
это оставьте в мбам
остальное все удалите.
далее,
далее,
сделайте проверку в АдвКлинере
----
в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex
остальное удалите по кнопке [b]Очистить[/b]
далее,
если проблема не решится, добавьте логи расширений браузеров
| Цитата |
|---|
| Processes: 1 RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 460, , [502983c0cebc1125953f1c6435cd05fb] Files: 3 RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [502983c0cebc1125953f1c6435cd05fb], RiskWare.Tool.CK, C:\Windows\SysWOW64\KMSService.exe, , [b8c1cf74cbbfd95df3e16818ed154bb5], |
далее,
далее,
сделайте проверку в АдвКлинере
----
в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex
остальное удалите по кнопке [b]Очистить[/b]
далее,
если проблема не решится, добавьте логи расширений браузеров
Размещено 11.03.2015 11:09:49
| Цитата | ||
|---|---|---|
| santy написал: это оставьте в мбам
сделайте проверку в АдвКлинере ---- в АдвКлинере, после завершения сканирования, в секции Папки снимите галки с записей mail.ru, yandex остальное удалите по кнопке Очистить |
Изначально я не описал проблему глобально. Опишу в этом топике, т.к. это звенья одной цепи:
Заражена локальная сеть с выделенным сервером. Заражены станции; заражён сервер.
Идентификация скрытых icmp произошла случайно. Оказалось зараза на каждой станции и сервере. Всё, что вы описали здесь, я всё проделал на сервере. Но не пришёл к логическому результату.
Вкратце описываю условия: Windows 2008 R2, x64; выполняет роли: DC, DHCP, DNS, Remote Desktops, файловый
Обратившись к дополнительным ресурсам, я столкнулся с этим инструментом:
Результат:
Далее отправил на файл svchost.exe из мест, которые вызывают подозрение, т.е. C:\Windows\Temp\...
Результат:
из C:\Windows\System32\svchost.exe вредоносных тел не обнаружено!
Из выше сказанного:
1. Каким образом подгружаются процессы svchost.exe из иного места (не из C:\Windows\System32\svchost.exe)
2. Какие инструменты мне использовать для дальнейшей борьбы.
Размещено 11.03.2015 11:15:13
сделайте образ автозапуска с помощью uVS на вашем сервере.
со скриптом торопиться не будем, поскольку это работающий контроллер домена,
просто для начала проанализируем образ. что он покажет.
со скриптом торопиться не будем, поскольку это работающий контроллер домена,
просто для начала проанализируем образ. что он покажет.
Читают тему