Автор Тема: Генерируется траффик  (Прочитано 2326 раз)

0 Пользователей и 1 Гость просматривают эту тему.

zloyvm

  • Гость
Генерируется траффик
« : Август 21, 2014, 04:45:55 pm »
Друзья добрый день. Прошу помочь в одной проблеме, с недавних пор стал идти перерасход по трафику на АДСЛ. Так как скорость маленькая всего 64кбит/с. в офисе поставили спутниковый интернет для входящего канала, все было хорошо, но недавно стали получать счета за перерасход по трафику (земля АДСЛ). в месяц лимит 2ГБ, у нас перерасход более 4ГБ. В общем один комп я выявил, с которого идет "паразитный" трафик, но касперский не выявил никаких проблем, пользователь говорит, что ставил какую то программу для закачки файлов orbit и для закачки и автоматического поиска музыки, но потом типа удалил. По его словам иногда при серфинге начинает звучать какая то мелодия сама по себе, потом исчезает. Как полтергейст какой то.  Каким средством выявить червя? Переустанавливать систему пока не предлагайте, это на крайний случай. AVZ почему то при сканировании  внезапно вылетает. К стати download master у него тоже заблокировался, при закачке просто вылетает.

 

Fire

  • Гость
Re: Генерируется траффик
« Ответ #1 : Август 22, 2014, 06:59:01 am »
Соберите лог rsit,avz переименуйте с расширением .pif,нужен стандартный лог 2 и 3.
Если опять вылетит пробуйте в безопасном режиме.

С момента сбора лога самостоятельно ничего не удаляйте.
« Последнее редактирование: Август 25, 2014, 02:51:07 pm от sysadmin »

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #2 : Август 22, 2014, 04:23:02 pm »
Отправил Вам в личку!

Fire

  • Гость
Re: Генерируется траффик
« Ответ #3 : Август 22, 2014, 08:09:13 pm »
Здравствуйте.

1)Создайте точку востановления.

2)Отключите антивирус,интернет.

3)Выполните скрипт avz
(Файл - выполнить скрипт - скопировать код ниже и нажать "Выполнить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\zloyadmin\appdata\local\commonlauncher.exe');
 QuarantineFile('c:\users\zloyadmin\appdata\local\commonlauncher.exe','');
 QuarantineFile('C:\Program Files (x86)\Download Master\dmpatch.exe','');
 QuarantineFile('C:\nporbit.dll','');
 DeleteFile('C:\nporbit.dll','32 ');
 DeleteFile('C:\Program Files (x86)\Download Master\dmpatch.exe','32');
 DeleteFile('c:\users\zloyadmin\appdata\local\commonlauncher.exe','32');
 DelCLSID('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelCLSID('{0055C089-8582-441B-A0BF-17B458C2A3A8}');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


c:\program files (x86)\naver\
web assistant
-ваше это все?
Позиционируется как adware


В папке с rsit запустите HijackThis от имени администратора.
Нажмите кнопку "Do a system scan only"


В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix сhecked".

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Некоторых строк может не быть.

Запустите avz .
Сервис - поиск данных в реестре - вбиваем  webalta
Все найденное сохраните и пришлите мне.

Подготовьте лог фиксербро
http://rghost.ru/57611915

Сделайте повторно лог №2 и №3 avz

  • Скачайте AdwCleaner (by Xplode) (или отсюда http://adwcleaner.ru.uptodown.com/)и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
« Последнее редактирование: Август 22, 2014, 08:13:04 pm от Fire »

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #4 : Август 25, 2014, 02:38:45 pm »
Отправил Вам в Личку.

Fire

  • Гость
Re: Генерируется траффик
« Ответ #5 : Август 25, 2014, 05:25:20 pm »
Ничего себе!

Создайте точку восстановления.


AVZ - файл - выполнить скрипт:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\zloyadmin\appdata\local\contentfinder.exe');
 TerminateProcessByName('c:\users\zloyadmin\appdata\local\contentagent.exe');
 QuarantineFile('c:\program files\web assistant\extensionupdaterservice.exe','');
 QuarantineFile('c:\users\zloyadmin\appdata\local\contentfinder.exe','');
 QuarantineFile('c:\users\zloyadmin\appdata\local\contentagent.exe','');
 QuarantineFileF('c:\program files\web assistant','*',true,'',0,0);
 DeleteFile('c:\program files\web assistant\extensionupdaterservice.exe','32');
 DeleteFile('C:\Users\Zloyadmin\AppData\Local\ContentAgent.exe','32');
 DeleteFile('C:\Users\Zloyadmin\AppData\Local\ContentFinder.exe','32');
 DeleteFile('C:\Windows\Tasks\Windows 7 Manager Live Update.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Windows 7 Manager Live Update','64');
 DeleteFileMask('c:\program files\web assistant','*',true);
 DeleteDirectory('c:\program files\web assistant','true');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ContentAgent');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ContentFinder');
 ExecuteSysClean;
ExecuteRepair(2);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.



AVZ  - сервис - поиск данных по реестру
Повторите поиск  в реестре webalta,все найденное отметить и удалить.

Повторите поиск,если что то найдется - покажите.

Запустите ADWCleaner,повторите сканирование.
Отметьте галочкой и удалите все кроме:



***** [ Файлы / Папки ] *****

Папка Найдено : C:\Program Files (x86)\AlterGeo
Папка Найдено : C:\Program Files (x86)\Mail.Ru
Папка Найдено : C:\ProgramData\Alawar
Папка Найдено : C:\ProgramData\AlawarWrapper
Папка Найдено : C:\ProgramData\AlterGeo
Папка Найдено : C:\ProgramData\Babylon
Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\Users\Public\Documents\AlawarWrapper
Папка Найдено : C:\Users\Zloyadmin\AppData\Local\AlterGeo
Папка Найдено : C:\Users\Zloyadmin\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Zloyadmin\AppData\Local\PackageAware
Папка Найдено : C:\Users\Zloyadmin\AppData\LocalLow\AlterGeo
Папка Найдено : C:\Users\Zloyadmin\AppData\LocalLow\Mail.Ru
Папка Найдено : C:\Users\Zloyadmin\AppData\Roaming\Alawar
Папка Найдено : C:\Users\Zloyadmin\AppData\Roaming\Babylon
Папка Найдено : C:\Users\Zloyadmin\AppData\Roaming\GrabPro
Папка Найдено : C:\Users\Zloyadmin\AppData\Roaming\Mail.Ru
Папка Найдено : C:\Users\Zloyadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

***** [ Реестр ] *****


Ключ Найдено : HKLM\SOFTWARE\Alawar





Снова повторите стандартный лог №2 и лог  №3 + HijackThis,пришлите мне.
Так же пришлите карантин (в папке с avz)

  • Загрузите SecurityCheck by glax24 отсюда
    http://www.comss.ru/page.php?id=1813
     и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Пришлите то,что получите (код)

« Последнее редактирование: Август 25, 2014, 08:39:03 pm от Fire »

Fire

  • Гость
Re: Генерируется траффик
« Ответ #6 : Август 25, 2014, 05:31:56 pm »
Да,как сделаете - сообщите как проблемы.

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #7 : Август 26, 2014, 07:02:07 pm »
Отправил вам следующие отчеты!

Fire

  • Гость
Re: Генерируется траффик
« Ответ #8 : Август 26, 2014, 08:51:33 pm »
Обновитесь:



Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Small Office Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Small Office Security
-------------AntiSpyware_WMI----------------------
Windows Defender
Kaspersky Small Office Security
-------------AntiVirusFirewallInstall-------------
Kaspersky Small Office Security v.9.1.0.59
-------------OtherUtilities-----------------------
CCleaner 3.20.1750 v.v3.20.1750
-------------Java---------------------------------
Java(TM) 6 Update 24 (64-bit) v.6.0.240 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u67-windows-x64.exe)^
Java Adapter Expert Edition v.1.3
Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u67-windows-i586.exe)^
Java Auto Updater v.2.0.7.2
-------------AppleProduction----------------------
QuickTime v.7.66.71.0 Внимание! Скачать обновления
-------------AdobeProduction----------------------
Adobe Flash Player 13 ActiveX v.13.0.0.214 Внимание! Скачать обновления
Adobe Flash Player 14 Plugin v.14.0.0.145 Внимание! Скачать обновления
Adobe Shockwave Player 12.0 v.12.0.4.144 Внимание! Скачать обновления
Adobe Reader XI (11.0.08) v.11.0.08
  • [/b]
    -------------Browser------------------------------
    Google Chrome v.35.0.1916.114 Внимание! Скачать обновления
    Yandex v.25.0.1364.22076 Внимание! Скачать обновления
    Mozilla Firefox 31.0 (x86 ru) v.31.0
    -------------EmailClient--------------------------
    Mozilla Thunderbird 24.5.0 (x86 ru) v.24.5.0 Внимание! Скачать обновления
    -------------RunningProcess-----------------------
    C:\Users\Zloyadmin\AppData\Local\Google\Chrome\Application\chrome.exe v.35.0.1916.114
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.31.0.0.5310
    -------------EndLog-------------------------------




    Все,удачи)

    Считайте ваш трафик,думаю все в порядке.

    Пока.

Fire

  • Гость
Re: Генерируется траффик
« Ответ #9 : Август 26, 2014, 09:57:30 pm »
Да,забыл: создайте новую точку восстановления,в течении суток - двое погоняйте,если нет проблем то старые точки восстановления можно и удалить,что бы не вернуть все проблемы обратно при случайном откате.

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #10 : Сентябрь 03, 2014, 02:13:28 pm »
Спасибо большое! В конце сентября будет точно известно меньше стало трафика или нет, но по моим наблюдениям трафика действительно стало намного меньше, чем было!!!

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #11 : Сентябрь 08, 2014, 03:00:35 pm »
Привет. Как договаривались. Отправляю Вам отчет с одного ПК. Я бегло глянул, вроде чисто. Хотя мало в этом понимаю. Следующий ПК отчет будет, если на первом чисто!

http://rghost.ru/private/57906539/b58b1739b2bd889004d6148b9fc044f5

Fire

  • Гость
Re: Генерируется траффик
« Ответ #12 : Сентябрь 08, 2014, 05:58:42 pm »
Ничего подозрительного.
Проблемы у компа есть?

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #13 : Сентябрь 08, 2014, 06:32:39 pm »
Проблем нет. Просто хочу понять не стоят ли на ПК программы генерирующие паразитный трафик!!! Завтра выложу данные ещё одного ПК! Спасибо за поддержку!!!

zloyvm

  • Гость
Re: Генерируется траффик
« Ответ #14 : Январь 12, 2015, 02:39:22 pm »
Хочу поблагодарить Fire за помощь в очистке ПК от дряни. С тех пор трафик ровный как положено! Спасибо за помощь, спасибо, что есть данный форум, спасибо админам форума и всех с Новым годом!!!


xx
Генерируется траффик2

Автор zloyvm

10 Ответов
953 Просмотров
Последний ответ Сентябрь 19, 2014, 12:41:29 pm
от zloyvm