Что за вирус рассылает исходный трафик

Вирус качает траффик, но не обнаруживается антивирусом

Здравствуйте,
Моя проблема в том, что по-видимому, у меня поселился какой-то вирус, который качает мой трафик: в момент подключения "принятых" байтов оказывается в считанные секудны от 1000 до 20 000 (каждый раз по разному), и "отправленные" байты качаются постоянно, вне зависимости от того, проявляю я какую-то активность в сети или нет. Проверяла антивирусом (Dr.WEb), он ничего не находит. Изредка вдруг становится все нормально, потом все начинается снова.
Очень прошу помочь с этой проблемой

Последний раз редактировалось misc11; 19.12.2007 в 06:26 .

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:


1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

3.boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу

P.s. Думаю наш подозреваемый последний в скрипте, на всякий случай проверить остальные не помешает, поэтому и получился такой скрипт.

Карантин

Скрипт выполнила, карантин заархивировала, и вроде закачала, но до конца не уверена - связь была отвратительная, думаю из-за того что одновременно качается что-то левое. Нужно ли снова отправлять файлы zip? (в Правилах написано что прежде чем повторно загружать, нужно уточнить есть ли в этом необходимость)

Последний раз редактировалось misc11; 19.12.2007 в 06:26 .

Загрузите карантин повторно.
Попробуйте поискать файлик ntos.exe при помощи AVZ --сервис-- поиск файлов на диске,если найдёте ,то поместите в карантин и отправьте по правилам.

не отправляется архив

Сегодня весь день пытаюсь отправить архив, но никак не получается. Могу ли я отправить его по почте на какой-нибудь адрес? Помогите, не знаю что делать.

Я его все-таки закачала!
Файл сохранён как070709_222316_virus_46927d140e890.zipРазмер файла338589MD5febbb37bb5164ef4e24e61e24dbd882e

Добавлено через 7 минут
Файл сохранён как:
070709_222316_virus_46927d140e890.zip

Размер файла: 338589

К сожалению, не удалось найти тот файл о котором спрашивали (через AVZ)

Добавлено через 12 часов 51 минуту
извините, что напомниаю, но пишу пока связь более-менее нормальная - есть ли какие-нибудь новости?

Последний раз редактировалось misc11; 10.07.2007 в 18:45 . Причина: Добавлено сообщение

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее. ):

Все сделала, на данный момент вроде связь нормальная, качает байты умеренно, в Инет вышла с первого раза, чего не было раньше. Но по-моему, что-то осталось.. Отправляю новые логи.

Последний раз редактировалось misc11; 19.12.2007 в 06:26 .

Всё чисто.
ShadowUser - устанавливали?
Если проблем больше нет,то лечение можно считать законченным.
msvcrtd.exe - Backdoor.Win32.Agent.apx зараза которая скрывалась под сервисом msupdate,как раз и увеличивала исходящий трафик.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Последний раз редактировалось Muzzle; 11.07.2007 в 08:11 .

Последний раз редактировалось misc11; 11.07.2007 в 08:17 .

да, именно нажать на весы и оставить отзыв.

эти 2 главных правила вам помогут :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6. )

Последний раз редактировалось drongo; 11.07.2007 в 09:32 .

Уважаемый drongo, Оперу установила и пользуюсь теперь ей, но если не трудно, поскажите как установить права ограниченного пользователя - пробовала найти как это сделать, не удалось.
И как отключить скрипты по умолчанию?
Извиняюсь, если глупые вопросы, но сама найти действительно не смогла, честно пыталась..

И еще, после проведения рекомендованного здесь лечения, я проверила компьютер программой Ad Aware, и обнаружились некоторые вирусы, я их удалила, теперь отчет выглядит так:

Найдено Удалено
Win32.Backdoor.Agent 14 10
Win32.TrojanSpy.Peed 9 2
Tracking Cookie 425 108

18.12.2013, 22:52

Вирус Трафик
Поймал вирус, который жрет мой трафик, юзаю беспроводной интернет с ограниченным трафиком в 2gb в.

Вирус забивает трафик
Здравствуйте, после установки программы столкнулся с такой проблемой, как будто интернет стал хуже.

Вирус хавает трафик=(
Здравствуйте у меня большая проблема какойто вирус (я так думаю) жрет трафик (я на него не богат.

Вирус, который ест трафик
Уважаемые вирусоборцы! У меня случилась беда. Имеется ноутбук с Windows 8.1, интернет подключен.

19.12.2013, 03:35 2 19.12.2013, 08:20 3 19.12.2013, 08:53 4 19.12.2013, 23:15 [ТС] 5 20.12.2013, 11:51 6

1) Можно сделать откат системы до даты начала возникновения проблем. Для этого заходим в свойства сисетмы -> защита системы.

2) Грузитесь с Live CD с модернизированной Windows PE, например Alkid. Настройте интернет, проверьте скорость.
Для чего? А для того что бы 100% быть увереным что физически канал работает хорошо.

3) Если все в режиме Live CD работает хорошо, то проблема в Windows 7. Для этого надо удалить все рекламное ПО, просканировать на вирусы через LIVE CD (http://support.kaspersky.ru/viruses/rescuedisk). Зачем? А затем что некоторые вирусы невозможно обнаружить в рабочей Windows (руткиты).

4) Скачать Sysinterlanls suite (http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx) от Марка Руссиновича, запустить tcpview и смотреть кто и куда бегает.

5) Проснифать трафик либо на самом копьютере (может не получиться), на роутере. Посмотреть куда идет трафик, и что внутри. Для этого качаем WireShark.

6) Зайти на бесплатный VPN (порт 1723 и 47), и черзе него использовать интернет. (только для теста, никакого банкинга и почтовых ящиков).

Добавлено через 1 час 0 минут
Добавлю:

1) Пуск - выполнить - mrt. Проверить на малварь.

2) Пуск - выполнить - sigverif - Проверить цифровые подписи драйверов.

3) Из sysinternals или диспетчера задач найти файл процесса физически, проверить его. Забить имя и размер в поисковике. + Если можешь то посмотреть список подключенных dll.

4) Многие палятся на дате создания файла, проверь директорию Windows на новые файлы со дня проблемы. (сортировать по дате).

thefreecat

Говорят, что в природе есть две загадки: откуда берется пыль, и куда деваются деньги? Точно также в интернете есть своя загадка: куда "утекает" трафик? Конечно в стационарных условиях, с современными высокоскоростными линиями эта проблема свою актуальность потеряла - но как только мы выезжаем на отдых, на природу, в деревню, там, где единственный способ свези с интернетом - сотовая связь, эта проблема встаёт во весь рост. Покупаем у оператора пакет в 1-2-4-8 гигабайт, вроде бы ничего не делали, а он израсходовался((. Куда же он делся? И можно ли как-то найти "источник утечки" "подручными средствами"?
Вообще, если уж Вы собрались "на природу" и будете пользоваться интернетом с ограниченным трафиком, очень желательно заранее поставить программу контроля трафика. Например, совершенно бесплатный NetLimiter Monitor. Тогда, посмотрев её статистику, мы увидим, например, что трафик, входящий и исходящий потребляет браузер FireFox(в первом примере) . или только входящий потребляется программой обмена мгновенными сообщениями Miranda. Всё просто и прозрачно.
Останется только посмотреть величину трафика и принять решение по отключению, постоянному или временному, программы - излишнего потребителя трафика. Но как быть, если такая программа заранее не установлена и перегружать систему нельзя(а после установки NetLimiter Monitor это потребуется обязательно)? Или вообще нет возможности загрузить эту или подобную программу? "Выхода нет?" (цы). Оказывается не всё так печально.
У радиолюбителей, когда нет возможности пользоваться точным, "качественным", измерителем часто пользуются "количественным" - который обычно называют тестером. В нашей системе контроля трафика тестером послужит индикатор локальной сети/беспроводной сети/модема - в общем того интерфейса, через который компьютер подключен к интерфейсу. Также таким тестером может послужить индикатор количества входящего/исходящего трафика Dashboard-а сотового модема(программы управления сотовым модемом).
Как определить на какой индикатор ориентироваться? В трее может быть несколько индикаторов сети/беспроводной сети/модема. Очень просто, если Вы точно не представляете на какой индикатор смотреть, то можно отследить нужный нам по изменению активности. Попробуйте в браузере, например, загрузить любой сайт и посмотрите какой индикатор стал активным - засветился или часто замигал. Если около индикатора стоит красный крестик - можно сразу не обращать на него внимание. В скриншоте-примере активный интерфейс отмечен зелёной точкой, а неработающий - красный.

Найдя индикатор нашего соединения с интернет теперь мы можем начать ревизию. Сначала грубо оценим - есть "утечка" вообще. Перестанем обращаться к интернет, дождёмся загрузки всех сайтов и пр. - и посмотрим на наш индикатор. Он должен не гореть. Если длительное время он не зажигается даже на короткое время - скорее всего "непроизводительной утечки" нет. Но, скорее всего, Вы заметите что он периодически "вспыхивает". Значит какая-то программа обращается к интернет. Попробуем отыскать - какая же из программ(или вкладок браузера) этим занимается.
Как же определить какая их той кучи программ, что в данный момент активно в компьютере, обращается к интернету? Воспользуемся "методом Волка" из "Ну Погоди!". Помните когда он, преследуя Зайца, забежал в телевизионный магазин? Чтобы определить, где же скрывается Заяц, он стал отключать телевизоры - и в конце-концов отыскал его. Так и мы попробуем найти "зайца" или "зайцев".
Для этого воспользуемся TaskManager-ом. "Обычным", системным TaskManager-ом мы выгружаем программы, когда они "зависают". Можно ли им наоборот, ввести программы в контролируемое "зависание"? К сожалению нет - стандартный системный TaskManager это не может. Зато имеется огромное число альтернативных TaskManager-ов, которым это под силу. Все такие программы мы рассматривать не будем - ограничимся только двумя.
Первая и достаточно мощная - это Process Hacker. Несмотря на такое громкое название - это совершенно безопасная для системы и очень мощная в плане исследования и управления запущенными программами и процессами. Скачайте и установите её - она Вам поможет не только в этом вопросе - множество вопросов работы системы могут быть прояснены с её помощью. Если Вы не можете или не имеете возможности установить программу(например в случае запрета установки программ или не желаете добавлять её в группу программ) - скачайте портабельный вариант. Он позволит Вам начать исследование системы "на ходу", без излишних установок. Кроме того Вы можете записать портабельный вариант Process Hacker-а на флешку и использовать в любом месте.
Запустите её и давайте посмотрим на главное окно, закладка Processes. Вы увидите множество запущенных в вашей системе программ и процессов. Чем ниже в окне программа - тем позднее она запущена. Самая нижняя программа в окне запущена последней.

Кстати, эта программа также косвенно показывает какая программа обращается в интернет(хотя и не только). Посмотрит на колонку I/O Total. Если в этой колонке у программы ненулевые цифры - то программа занимается обменом данных с "внешним миром" - по отношении к памяти программы, конечно. Если у программ, относящихся к интернет(список будет в конце статьи) эта цифра ненулевая - смело включаем её в список подозреваемых.
Теперь как же мы будем с помощью этой программы искать программы, которые "активничают"? Очень просто. Начиная снизу(с самых последних) начнём "замораживать" интернет-программы. Для этого наживаем правой кнопкой мыши на название программы и выбираем в меню Suspend Process. После этого смотрим на наш индикатор - не прекратились ли обращения в сеть интернет? Если да - то мы нашли все программы, "доящие" трафик(их, скорее всего, не одна). Если обращения не прекратились - но изменился "темп" миганий - то почти наверняка "замороженная" программа одна "из тех". Если же ничего не изменилось - "размораживаем" программу нажав правой кнопкой мыши на название программы и выбрав пункт Resume Process.

. Мы увидим окно со списком запущенных программ - при этом чем выше программа, тем позже она запущена. Самая последняя находится в начале списка.
Для того, чтобы "заморозить" программу нажмите на неё и через контекстное меню(вызывается правой кнопкой мыши) выбираем "Приостановить/Продолжить процесс". При этом слева от этой программы появится символ . Для "разморозки" ещё раз через контекстное меню выбираем "Приостановить/Продолжить процесс". Программа "размораживается", символ пропадает. Таким образом, мы можем оперативно "заморозить" все подозрительные программы и посмотреть, как меняется от этого активность индикатора сети/беспроводной сети/модема. К слову - нажатие на "крестик" закрытия программы Process Killer-а не завершает её работу, а только "прячет" её окно, которое заново можно вызывать по Ctr+Shift+

.
Вот теперь, пользуясь одной из этих программ, Вы можете найти "источник утечки" и решить что делать с этой программой/программами.

Приложение - названия программ и их исполняемых файлов, появляющихся в списке TaskManager-ов:

Программы обмена мгновенными сообщениями и общения:
Skype - skype.exe
ICQ - icq.exe
Qip - qip.exe
Miranda - miranda32.exe
R&Q - rnq.exe

P2P программы(для работы с торрентами и прямого обмена файлами):
мюТоррент - uTorrent.exe
Edonkey - edonkey.exe
Emule - emule.exe

Системные программы - не "замораживайте" их без необходимости - возможно полное "замораживание" системы!:
System Idle Process
System
smss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe

Список дан больше для примера, перечислены только самые известные программы. Если Вы видите программу не из этого списка - посмотрите в интернете что это за исполняемый файл

Оригинал статьи находится тут

Статья обсуждается на Всеобщем форуме в этом топе

Рекомендованные сообщения

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Войти

Уже зарегистрированы? Войдите здесь.

Нет пользователей, просматривающих эту страницу.

Как всем уже известно в Украине заразились десятки тысяч ПК вирусами (криптовымогателями)

скорей всего что вирус был заложен в обновление бухгалтерской программы - "Медок"
все кто получил утром обновление - уже в офлане, дальше, у кого была локальная сеть и не был зафильтрован Нетбиос - вирус распространился по все сети


Доброго дня.
Начали твориться интересные вещи.
Заявки от клиентов, у которых (пока что так) соблюдаются 2 условия:
1. Роутер 340 или 740.
2. PPTP подключение.
Заявка - нет интернета.
По приходу обнаруживается, что в роутере сбит профиль PPTP а так же юзаются какие-то левые ДНС.
Приходится сбрасывать роутер, после чего настраивать и ставить свои логин/пароль и порт на админку.
Поискал чуть-чуть в интернете, понял, что это какая-то кака заражает клиентский комп.

Кто сталкивался?
Можно ли принять какие-то меры (ну, например, заблокировать какой-то ай-пи), дабы эта зараза не положила сотню роутеров?
А, да. IP адреса у клиентов серые. Так что это кака попадает таки изнутри.



Железо Dell 3324

SW version 1.0.0.52

На порту абонента такая картина:

# show bridge address-table


Vlan Mac Address Port Type ------ --------------------- ------ -------------- 101 00:0f:90:ce:85:05 1/g1 dynamic 101 02:32:7f:20:f2:b7 1/e10 dynamic 101 02:32:7f:24:f2:77 1/e10 dynamic 101 02:32:7f:24:f2:87 1/e10 dynamic 101 02:32:7f:24:f2:b7 1/e10 dynamic 101 02:32:7f:27:f2:77 1/e10 dynamic 101 02:32:7f:27:f2:87 1/e10 dynamic 101 02:32:7f:27:f2:b7 1/e10 dynamic 101 02:72:7e:27:79:87 1/e10 dynamic 101 02:72:7f:27:f2:77 1/e10 dynamic 101 02:92:7e:27:79:77 1/e10 dynamic 101 02:92:7f:20:f2:77 1/e10 dynamic 101 02:92:7f:27:f2:77 1/e10 dynamic 101 08:22:77:26:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b9 1/e10 dynamic 101 08:32:7f:24:f2:b7 1/e10 dynamic 101 08:32:7f:26:72:b7 1/e10 dynamic 101 08:32:7f:27:72:77 1/e10 dynamic 101 08:32:7f:27:f2:77 1/e10 dynamic 101 08:32:7f:27:f2:b7 1/e10 dynamic 101 08:32:7f:76:72:79 1/e10 dynamic 101 08:32:7f:76:72:b7 1/e10 dynamic 101 08:32:7f:77:72:79 1/e10 dynamic 101 08:32:7f:77:72:b7 1/e10 dynamic 101 08:32:7f:77:f2:77 1/e10 dynamic 101 08:32:7f:77:f2:b7 1/e10 dynamic 101 08:33:77:76:7e:b7 1/e10 dynamic 101 08:33:7f:26:72:b7 1/e10 dynamic 101 08:33:7f:27:f2:b7 1/e10 dynamic 101 08:33:7f:76:72:77 1/e10 dynamic 101 08:33:7f:76:72:b7 1/e10 dynamic 101 08:33:7f:76:77:b7 1/e10 dynamic 101 08:33:7f:76:f2:77 1/e10 dynamic 101 08:33:7f:77:72:77 1/e10 dynamic 101 08:33:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:26:72:b7 1/e10 dynamic 101 08:72:7f:27:72:79 1/e10 dynamic 101 08:72:7f:27:72:b7 1/e10 dynamic 101 08:72:7f:27:f2:77 1/e10 dynamic 101 08:72:7f:27:f2:b7 1/e10 dynamic 101 08:72:7f:76:72:77 1/e10 dynamic 101 08:72:7f:76:72:79 1/e10 dynamic 101 08:72:7f:76:72:b7 1/e10 dynamic 101 08:72:7f:77:72:79 1/e10 dynamic 101 08:72:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:77:72:b9 1/e10 dynamic 101 08:72:7f:77:d2:77 1/e10 dynamic 101 08:72:7f:77:f2:77 1/e10 dynamic 101 08:72:7f:77:f2:b7 1/e10 dynamic 101 08:73:77:76:72:b7 1/e10 dynamic 101 08:73:77:77:72:79 1/e10 dynamic 101 08:73:77:77:72:b7 1/e10 dynamic 101 08:73:77:77:f2:77 1/e10 dynamic 101 0a:71:71:77:ad:13 1/e10 dynamic 101 0a:71:77:77:ad:13 1/e10 dynamic 101 0c:79:77:87:7b:1c 1/e10 dynamic 101 10:2f:77:76:78:72 1/e10 dynamic 101 10:77:57:77:77:37 1/e10 dynamic 101 10:d7:17:47:77:37 1/e10 dynamic 101 10:d7:57:77:77:71 1/e10 dynamic 101 10:d7:77:47:77:71 1/e10 dynamic 101 10:d7:97:77:77:71 1/e10 dynamic 101 10:d7:d7:47:27:71 1/e10 dynamic 101 12:76:77:77:f7:77 1/e10 dynamic 101 12:76:b7:77:17:77 1/e10 dynamic 101 12:76:b7:77:1d:77 1/e10 dynamic 101 12:76:b7:77:72:77 1/e10 dynamic 101 12:76:b7:78:77:77 1/e10 dynamic 101 12:77:77:77:17:77 1/e10 dynamic 101 12:77:77:77:77:77 1/e10 dynamic 101 12:77:77:77:f7:77 1/e10 dynamic 101 12:77:7a:77:17:77 1/e10 dynamic 101 12:77:7c:77:17:77 1/e10 dynamic 101 12:77:b7:27:77:77 1/e10 dynamic 101 12:77:b7:27:87:77 1/e10 dynamic 101 12:77:b7:27:e7:77 1/e10 dynamic 101 12:77:b7:37:78:77 1/e10 dynamic 101 12:77:b7:37:e9:77 1/e10 dynamic 101 12:77:b7:77:17:77 1/e10 dynamic 101 12:77:b7:78:17:77 1/e10 dynamic 101 12:77:b7:78:77:77 1/e10 dynamic 101 12:77:b7:88:77:77 1/e10 dynamic 101 12:77:bc:78:17:77 1/e10 dynamic 101 12:77:d7:27:17:77 1/e10 dynamic 101 12:77:d7:77:f7:77 1/e10 dynamic 101 12:77:d7:78:17:77 1/e10 dynamic 101 12:77:d7:78:77:77 1/e10 dynamic 101 14:23:77:97:77:75 1/e10 dynamic 101 14:c7:37:77:4b:e5 1/e10 dynamic 101 16:18:17:77:77:71 1/e10 dynamic 101 16:18:57:77:77:71 1/e10 dynamic 101 16:58:17:77:77:71 1/e10 dynamic 101 16:77:17:17:75:71 1/e10 dynamic 101 16:77:17:17:77:71 1/e10 dynamic 101 16:77:17:77:77:71 1/e10 dynamic 101 16:77:57:57:77:71 1/e10 dynamic 101 16:77:57:77:77:71 1/e10 dynamic 101 16:77:d7:47:27:37 1/e10 dynamic 101 16:77:d7:47:27:71 1/e10 dynamic 101 16:77:d7:47:b7:71 1/e10 dynamic 101 16:78:17:17:77:71 1/e10 dynamic 101 16:78:17:77:77:71 1/e10 dynamic 101 16:c7:17:77:77:71 1/e10 dynamic 101 16:d7:17:17:77:71 1/e10 dynamic 101 16:d7:17:47:77:71 1/e10 dynamic 101 16:d7:17:57:77:71 1/e10 dynamic 101 16:d7:17:77:77:71 1/e10 dynamic 101 16:d7:57:57:77:71 1/e10 dynamic 101 16:d7:57:77:27:71 1/e10 dynamic 101 16:d7:57:77:77:37 1/e10 dynamic 101 16:d7:57:77:77:71 1/e10 dynamic 101 16:d7:57:77:77:77 1/e10 dynamic 101 16:d7:57:77:b7:37 1/e10 dynamic 101 16:d7:57:77:b7:71 1/e10 dynamic 101 16:d7:97:47:b5:71 1/e10 dynamic 101 16:d7:97:77:77:71 1/e10 dynamic 101 16:d7:d7:47:77:71 1/e10 dynamic 101 16:d7:d7:47:b7:35 1/e10 dynamic 101 16:da:17:17:77:71 1/e10 dynamic 101 16:da:57:77:b7:71 1/e10 dynamic 101 18:17:14:70:4e:61 1/e10 dynamic 101 18:17:14:70:7e:65 1/e10 dynamic 101 18:76:b7:77:12:77 1/e10 dynamic 101 18:7a:1e:74:4e:61 1/e10 dynamic 101 18:7a:1e:74:4e:71 1/e10 dynamic 101 1c:f7:78:4b:76:75 1/e10 dynamic 101 24:77:97:79:77:77 1/e10 dynamic 101 26:77:77:71:67:27 1/e10 dynamic 101 2e:1b:77:b4:87:07 1/e10 dynamic 101 2e:77:77:a4:8e:07 1/e10 dynamic 101 2e:7b:77:24:7d:07 1/e10 dynamic 101 2e:7b:77:a4:8e:87 1/e10 dynamic 101 2e:7b:a2:b4:77:07 1/e10 dynamic 101 2e:7b:a7:21:8d:87 1/e10 dynamic 101 2e:7b:a7:24:7d:07 1/e10 dynamic 101 2e:7b:a7:24:8d:87 1/e10 dynamic 101 2e:7b:a7:24:8e:87 1/e10 dynamic 101 2e:7b:a7:b4:87:07 1/e10 dynamic 101 34:77:97:79:77:77 1/e10 dynamic 101 38:09:27:77:77:75 1/e10 dynamic 101 38:09:27:7e:77:75 1/e10 dynamic 101 38:09:27:7f:77:75 1/e10 dynamic 101 38:09:28:71:75:76 1/e10 dynamic 101 38:09:28:71:75:77 1/e10 dynamic 101 38:09:28:77:75:76 1/e10 dynamic 101 38:09:28:77:75:77 1/e10 dynamic 101 38:09:e7:77:74:77 1/e10 dynamic 101 38:09:e7:7c:77:75 1/e10 dynamic 101 38:09:e7:7e:77:75 1/e10 dynamic 101 38:09:e7:7f:77:75 1/e10 dynamic 101 38:09:e8:7e:77:75 1/e10 dynamic 101 42:32:7f:26:72:b7 1/e10 dynamic 101 42:32:7f:27:f2:77 1/e10 dynamic 101 42:32:7f:27:f2:b7 1/e10 dynamic 101 42:32:7f:76:72:b9 1/e10 dynamic 101 42:73:79:8f:78:71 1/e10 dynamic 101 42:9f:77:bc:27:99 1/e10 dynamic 101 44:77:7a:77:70:27 1/e10 dynamic 101 44:77:7a:f1:70:77 1/e10 dynamic 101 48:32:7f:27:f2:77 1/e10 dynamic 101 48:32:7f:77:f2:77 1/e10 dynamic 101 48:72:7f:76:72:77 1/e10 dynamic 101 48:72:7f:76:7e:b7 1/e10 dynamic 101 48:77:77:77:27:0f 1/e10 dynamic 101 48:77:77:77:34:07 1/e10 dynamic 101 48:77:77:d7:e4:07 1/e10 dynamic 101 48:79:77:d7:74:0f 1/e10 dynamic 101 48:97:77:27:87:97 1/e10 dynamic 101 48:b2:79:8f:d8:71 1/e10 dynamic 101 4a:b1:44:c5:a7:77 1/e10 dynamic 101 4c:97:a7:77:77:99 1/e10 dynamic 101 4e:71:14:71:64:61 1/e10 dynamic 101 4e:71:14:74:a5:76 1/e10 dynamic 101 4e:71:14:81:6c:61 1/e10 dynamic 101 4e:71:14:84:6c:61 1/e10 dynamic 101 4e:71:14:84:ad:66 1/e10 dynamic 101 4e:71:18:84:6c:71 1/e10 dynamic 101 4e:76:14:44:67:66 1/e10 dynamic 101 4e:76:14:44:6c:66 1/e10 dynamic 101 4e:76:14:44:a5:77 1/e10 dynamic

И так до бесконечности генерируются мак адреса, на порту висит роутер TP-Link за ним абонент. Проблема в нестабильном соединении с Интернет.
Роутер так флудит красиво? Что бы такой флуд пошел, надо подождать часика два, сразу при подключении нету такой картины.


  • Киберсанты





  • 838 сообщений

    • Страна, Город:
      Латвия
    • Пол: Мужчина

    Если вы проведете поиск в Google по (бессмысленной на первый взгляд) комбинации "a0b4df006e02184c60dbf503e71c87ad" или "a995d2cc661fa72452472e9554b5520c", то на первых же страницах наткнетесь на оживленное обсуждение вирусных проблем на сайтах. Эта беда (сайтовый вирус, идентифицируемый в Интернете по этим комбинациям) довольно активно обсуждается в западном секторе сети вот уже около полугода. Универсального решения я пока в этих обсуждениях не нашел.

    Сам столкнулся с этой проблемой в начале лета, и с тех пор возвращаюсь к ней достаточно регулярно.

    И вот, вчера, подвергнувшись очередному "нашествию", задался вопросом: почему в Рунете (то есть именно в русскоязычной части сети) нет информации об этой проблеме? Потому что нет пострадавших (кроме меня, несчастного)? Или потому что об этом просто никто не знает? А может быть потому, что проблема эта в Рунете давно решена и не представляется серьезной (но я просто по своей беспросветности этого не знаю)?

    Как бы там ни было, если кто-то сталкивался с чем-то подобным на своем сайте, было бы интересно обсудить.

    Кто-нибудь сталкивался?

    На правах рекламы


  • Клиент Info-DVD.Ru





  • 5 789 сообщений

    • Страна, Город:
      РУнет
    • Пол: Мужчина

    и снова в отпуске ))


  • Киберсанты





  • 838 сообщений

    • Страна, Город:
      Латвия
    • Пол: Мужчина

    Константин, как папка называется? которая появляется и где.


  • Администрация
  • 26 191 сообщений

    • Страна, Город:
      Россия, г. Ижевск
    • Пол: Мужчина


  • Киберсанты





  • 838 сообщений

    • Страна, Город:
      Латвия
    • Пол: Мужчина

    Неужели и обращение к хостеру не дает никаких результатов в борьбе с этой напастью.

    Последний ответ хостера меня даже немного развеселил. Цитирую (усиления - мои):

    "В данный момент ваш сайта работает исправно. Для предотвращения такой ситуации вам необходимо сменить пароль.

    Пользователь сам несёт ответственность за свой контент, так он является владельцем этого контента, и поэтому пользователь должен самостоятельно удалить нежелательный код из своего сайта. И для того чтобы эта ситуация не повторялась в будущем, вам необходимо. "

    Ну а советы, которые они дают в подобны ситуациях, достаточно банальны (снова цитирую):

    ". вам необходимо:
    - проверить все компьютеры, через которые вы заходили на хостинг, на наличие вирусов.
    - включить архивирование логов в панели управления.
    - сменить пароли.
    - если ваш сайт на php, то вам необходимо обновить движок сайта.
    - и в будущем пароли не хранить на компьютере."

    Пароль от этого сайта никогда не хранился на компьютере. Поэтому этот вариант практически отпадает. Тем более, что пароль меняется с тех пор регулярно. Вероятность того, что на моем компе вот уже два месяца сидит какой-нибудь троян-кейлогер. Ну. всякое бывает, но, честно говоря, маловероятно. Ставить сниффер на мой сайт никто не станет - игра не стоит свеч.
    Так что, по всей вероятности это какая-то инъекция. Вопрос только в том - почему нет других пострадавших и почему она иногда возвращается: потому что я что-то "недочистил" с первого раза, или потому что какие-то скрипты содержат бреши, используемые время от времени вирусными ботами.
    Разберемся, конечно, в итоге. Но просто интересно, как дела у остальных. Может быть кто-то тоже уже давно страдает от этой напасти, но просто не знает об этом В этом, собственно, и была основная цель данной темы: призвать сайтовладельцев проверить свои htaacess-ы в голове сайта.


  • Клиент Info-DVD.Ru





  • 5 789 сообщений

    • Страна, Город:
      РУнет
    • Пол: Мужчина

    и снова в отпуске ))


  • Киберсанты





  • 838 сообщений

    • Страна, Город:
      Латвия
    • Пол: Мужчина

    . изменений по дате не обнаружил, в любом случае проверять все сайты постоянно невозможно.

    Интересно наблюдать за тем, как все это развивается. Вот мой ребенок, например, этим летом столкнулся с хакером-вымогателем. Теперь дает мне бесплатные уроки по безопасности Впрочем, не буду оффтопить.


  • Киберсанты





  • 838 сообщений

    • Страна, Город:
      Латвия
    • Пол: Мужчина

    Ну что ж. как говорится "Десять дней, полет нормальный"

    За десять дней пристального мониторинга эта хрень себя никак больше не проявила.

    Предварительные выводы:
    1. С большой вероятностью можно сказать, что заражение было автоматическое, - какая-нибудь ботовая инъекция через форму регистрации старого скрипта рассылки. (Вывод: вовремя проводите апгрейд скриптов, не оставляйте старые папки на сервере).
    2. Также с большой вероятностью можно сказать, что причиной возвращения вируса на сайт была не полная очистка папок от следов его деятельности. Видимо что-то упустил с первого раза.

    Предлагаемые методы борьбы если у кого-то такая зараза вдруг обнаружится:
    1. Уничтожение папки вируса (на него обычно указывает антивирусник, это не сложно)
    2. Желательно, - если это технически возможно, - перенос скрипта из пораженной папки в другое место. Пораженная папка НЕ УНИЧТОЖАЕТСЯ, но в нее записывается .htaccess файл с единственной строчкой: Deny from all.
    3. После этого производится тщательное перелистывание всех папок сайта с целью поиска пораженных .htaacess, css и js - файлов. Все они либо заменяются исходными из резервной копии, либо вычищаются вручную от следов деятельности вируса. Если хотя бы один останется - ждите "возвращения Будулая".

    Подробнее опишу в блоге как-нибудь, если эта напасть снова не объявится, конечно.

    Читайте также:

    Пожалуйста, не занимайтесь самолечением!
    При симпотмах заболевания - обратитесь к врачу.