Проблема связанная с нападением и блокировкой

[BeTeRIII]

Вот такая у меня проблема.

Вчера сидел я в интернете и поздно вечером нодовский ESS (антивирус+фаерволл) выдал красное окошко внизу как обычно при срабатывании защиты, что был заблокирован некий адрес: 85.17.90.210:80. Я не обратил внимание, а сегодня как подключился в интернету, не заходя в браузер - опять вылезло это окошко о блокировке этого же адреса. И так сегодня каждый раз при подключении к VPN. Все бы ничего, но после срабатывания ESS при блокировке этого адреса, страницы браузера перестают грузиться (как М.Firefox, так и Opera). Вот сейчас, когда я был не в интернете (в "домашней сети") - все нормально и браузер отлично работает, а как выйду в интернет - опять начнется.

Так и есть: зашел в интернет и опять сработал ESS и непонятно как страницы загрузились вообще(так же, как и почему они не грузятся), но вот в интернете нашел вчерашнее сообщение какого-то испанского (онлайн что ли?) геймера - http://www.guildwarslatino.com/foros...8587db5a974a3b , где он так же возмущается нападением на него с этого адреса. Воспользовавшись гугл-переводчиком хорошо становится поятен смысл их беседы и что-то он мне не очень нравится по предлагаемым способам снятия атаки.

Есть какие-нибудь мысли ? Только без юмора, плиз .

[Nik]

Цитата: Сообщение от Denture Есть какие-нибудь мысли ? Только без юмора, плиз .

Согласен, тут не до смеха.
Еще пишут, что эта пакость проц перегревает и предлагают что то скачать для избавления:
http://www.bleepingcomputer.com/forums/topic285509.html

[ivan_i_]

Цитата: Сообщение от Denture нодовский ESS (антивирус+фаерволл)

Как временный вариант добавьте в постоянный список блокировок фаервола этот адрес (можно целиком без указания порта для входящих и исходящих), посмотрите что будет. Командой netstat -b посмотрите какие соединения существуют с этим адресом, если они присутствуют, разбирайтесь с программами которые смотрят на этот адрес.

[SnowBars]

прикольно, вирус проц перегревает, дайте ссылку на такое чудо!
да да, ты болеешь туберкулез, вместо того чтобы лечится - одень марлевую повязку и все.

банальный вирус с подменой Svchost.exe
качаем др.веб, авз лайвсд и т.д. сканируем систему, смотрим...

[BeTeRIII]

Цитата: Сообщение от SnowBars качаем др.веб, авз лайвсд и т.д. сканируем систему, смотрим...

Как раз только что скачал "cure.it". Счас гляну - о результатах отпишу. В любом случае - спс всем за мнения и указания к действию.

[D3DX]

Смени Nod на KIS и твои проблемы прекратятся, (если правильно настроишь фаерволл), он более коректно отсекает процес и порт а не тупо вешает всю сеть. (Не сочти за рекламу KIS).

[BeTeRIII]

Вообщем так и есть: cure.it нашел следующие вирусы и (возможно) трояны в файлах в Temp. int. files: вирус по классификации Dr Web JS.Gumblar.99, в одной програмке в Program files/..: в файлах библиотек .dll Trojan.muldrop 13699 и DLOADER.trojan. Вообщем я всех их удалил. Но вот что главое:

Цитата: Сообщение от SnowBars банальный вирус с подменой Svchost.exe

cure.it действительно выдал сообщение о том, что файл hosts у меня модифицирован (и указал, что это может быть результатом деятельности вируса) и предложил его восстановить - это я сделал. Но ведь само восстановление файла hosts не означает, что вирус будет убит... И эта зараза

[IMG]http://img42.**************/img42/2109/84534624.jpg[/IMG]

с прежней регулярностью (через 1 -3 мин. после соединения с интернетом) продолжает вылазить.

[Анат]

"Welcome to nginx!" Вот что написано по этому адресу, на пустой странице. Каспер молчит. Кто переведёт, куда приглашают?

[BeTeRIII]

Цитата: Сообщение от Анат "Welcome to nginx!" Вот что написано по этому адресу, на пустой странице. Каспер молчит. Кто переведёт, куда приглашают?

Тут дело не в том, что какой-то зараженный или незараженный адрес меня атакует, а в том, что зараза которая засела у меня и при ее активном участии (и попустительстве изначальном ESS) и вылезает это собщение о блокировке (и жуткие тормоза на компьютере )

Цитата: Сообщение от SnowBars авз лайвсд и т.д. сканируем систему, смотрим

авс лайвс - это как-это?.. пока поробую KIS...

[SnowBars]

антивирус Зайцева, AVZ
хм... ну а что тут такого криминального? подцепил заразу, прописалась на жестком диске, теперь она (зараза) самостоятельно стучится по данному адресу (файл хостс модифицирован) и пытается себе скачать еще пару приятелей

[ivan_i_]

Можно и этим посмотреть, скорее всего cureit не всю "грядку" подчистил...
http://www.gmer.net/

[Vose]

Цитата: Сообщение от SnowBars банальный вирус с подменой Svchost.exe

Цитата: Сообщение от Denture cure.it действительно выдал сообщение о том, что файл hosts у меня модифицирован

Denture, Не путайте "тёплое с мягким" - это совершенно разные вещи (Svchost.exe и hosts) - даже букв в словах разное количество . Попробуйте в AVZ через меню Файл запустить "Восстановление системы" ещё. А правильно написанным файлом hosts, как раз тоже можно неплохо от заразы защищатся, но и в этом случае антивири считают его модифицированным (отличным от виндово-дефолтного) и предлагают исправить. Поэтому, прежде чем его восстанавливать в дефолт, имхо, стоило посмотреть, что в нём, и добавить "левый адрес" в блокируемые, поправив немного содержимое hosts.

[ivan_i_]

Denture,
Для чего нужен hosts
http://ru.wikipedia.org/wiki/Hosts

[BeTeRIII]

Vose,
ivan_i_, ребят вы правильно поняли мою ситуацию - с hosts и svhosts.exe . Вы не поняли только одного - правильное написание каждого из этих слов в описании проблемы, саму проблему (и теперь уже не только мою) не решит, т.к. она кажись серъезнее чем кажется.

AVR Tool Касперского также оказался бесполезен в моей ситуации - его скан ничего не дал. Просканировал только что АVZ и выкладываю протокол его проверки (может кто-то что-то увидит "знакомое" - у меня лично вызывает вопросы процесс "vdrv1000" - другая утилита gmer распознала его как вредоносный)
Протокол AVZ

Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 16.03.2010 17:08:33
Загружена база: сигнатуры - 267271, нейропрофили - 2, микропрограммы лечения - 56, база от 13.03.2010 23:28
Загружены микропрограммы эвристики: 381
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 189114
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSAConnect нейтрализован
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSAStartup нейтрализован
Функция ws2_32.dll:closesocket (3) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции closesocket нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции getpeername нейтрализован
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции getsockname нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро TUKERNEL.EXE обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805A24BA->825518A0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80570D64->F8531DA4), перехватчик spxb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F8532132), перехватчик spxb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80568D59->F85130C0), перехватчик spxb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805717C7->82550CB0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (8058A1BD->825510D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80570A6D->F853220A), перехватчик spxb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F853208A), перехватчик spxb.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (8062F8C1->825516D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805E045E->825514F0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805822E0->82550EE0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (8057B885->82551310), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция KeInsertQueueDpc (804E38A2) - модификация машинного кода. Метод JmpTo. jmp F891DDCD \SystemRoot\system32\DRIVERS\FStarForce.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция KeReadStateEvent (804E42B3) - модификация машинного кода. Метод JmpTo. jmp F891DE0D \SystemRoot\system32\DRIVERS\FStarForce.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 12, восстановлено: 14
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
CmpCallCallBacks = 0013A732
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F6E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 82F6E1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 37
Анализатор - изучается процесс 3472 C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 328
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Charon\CACHE.NDB
Прямое чтение C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\epfwlog.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\virlog.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\warnlog.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
Прямое чтение C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\TUUtilitiesSvc.9.tudb
Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\Павел\Cookies\index.dat
Прямое чтение C:\Documents and Settings\Павел\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\Павел\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\Павел\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\Павел\NTUSER.DAT
Прямое чтение C:\Documents and Settings\Павел\Главное меню\Программы\Автозагрузка\winesm32.exe
C:\Documents and Settings\Павел\Мои документы\Загрузки\rz119pp5.htm - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\Alcohol Soft\Alcohol 120% retail 1.9.8.7612 Ru XCV edition\Alcohol-120-retail-1-9-8-7612-Ru-XCV-edition.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)
Прямое чтение C:\Temp\avz_3448_1.tmp
C:\Program Files\Rapidown\rapidown.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\System Volume Information\setup_9.0.0.722_13.03.2010_04-43drv.isw
Прямое чтение C:\Temp\~DF35C6.tmp
Прямое чтение C:\WINDOWS\SchedLgU.Txt
Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g
Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\Internet.evt
Прямое чтение C:\WINDOWS\system32\config\OAlerts.evt
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\config\TuneUp.evt
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Прямое чтение C:\WINDOWS\WindowsUpdate.log
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 28 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "installhook.dll prio.dll "C:\PROGRA~1\Google\Google Desktop Search\GoogleDesktopNetwork3.dll""
>>> Подозрение на маскировку ключа реестра службы\драйвера "vdrv1000"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 260885, извлечено из архивов: 197150, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 16.03.2010 18:30:14
!!! Внимание !!! Восстановлено 14 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 01:21:43

PS. Уже есть в инете другие с такой же проблемой (на адрес, какой блокируется фаером также как и я, никто никогда не заходил)

Вопрос по устранению обозначенной заразы остается открытым.

[ivan_i_]

Denture,
Service C:\WINDOWS\System32\Drivers\VDRV1000.SYS (*** hidden *** )
Это драйвер Virtual CD. Легитимный. Проверьте...

Советую Вам обратиться на профильный форум
http://virusinfo.info/pravila.html