Нужна помощь! Не могу обнаружить вирус.

[Junior]

Ситуация следующая. Есть какой-то хитрый вирус который распространяется по локальной сети. Первый раз я с ним столкнулся где-то месяц назад, когда мне принесли на ремонт комп. Симптомы были следующие: вирус обрывал подключение к интернету. Причём обрывал как-то хитро в интервале от 1 минуты до 1 часа после включения компа. При этом можно было пинговать любые сайты, и если что-то ставил на закачку то закачка не обрывалась, но нельзя было открыть ни одну страницу из любого браузера и антивирусы не обновлялись. Вирус распространялся по локалке(выяснено печальным опытом).Лечение различными антивирусами результата не дало. В безопасном режиме с поддержкой сетевых драйверов комп работает нормально, но найти какое процесс или приложение вызывает симптомы не получилось(убивали все процессы из диспетчера задач кроме системных). Помогла только переустановка винды.

Вчера я похоже столкнулся с новой версией этого вируса. Знакомый принёс ноут. Диагноз: синие экраны смерти и выключается при загрузке винды(именно выключается не перезагружается). Винду переустановили. Вроде всё норм. Подключили сеть и начали заливать софт. Вот тут и начались чудеса. Мой комп с прямым выходом в инет(через воля-модем), а от меня инет уже идёт на другие компы. Начал пропадать интернет минут через 5-10 после включения компа(один раз соединение держалось час). При чём в этот раз отрубался инет напрочь. Пинги не ходят даже на волевский модем. Если перезагрузить модем, то комп не может получить айпи адрес от модема (но он очень старается ) ). Через некоторое время комп начал сам отключаться. Ещё через пару перезагрузок он начал отрубаться на моменте загрузки винды. Загрузиться в безопасном или в любом другом режиме не возможно(те же яйца только в профиль). Увидев симптомы с котрыми приехал ноут, позвонил другу и выяснил, что у него тоже всё началось пропаданием инета. Но и это ещё не всё. Похоже, что вирус как-то поражает ещё и биос. Когда начались самопроизвольные отключения компа, то при старте выводилось сообщение, о том что "комп был выключен по причине перегрева процессора" (кулер отлично крутится, радиатор процессора прохладный) и предлагает продолжить загрузку компа или войти в биос. При входе в биос виснет. (каким-то раком один раз удалось войти в биос. температуру проца показывал вполне нормальную). Ещё через некорое время комп стал сразу отключаться после включения, либо верещал сиреной и не грузился.
Погрешив, что материнка просто не вовремя сдохла - переставили винт на другой идентичный комп (материнка и там и там Intel D865PERL). Винда загрузилась. Минут через 30-40 повторились аналогичные симптомы. Теперь у меня на руках уже 2 мёртвые материнки.
Обнаружить вирус антивирусами не получается. Пробовали Касперским, Нод32, Панда, Нортон. Все антивирусы были обновлены до самых последних версий.

Если кто-то сталкивался с подобным, то отпишитесь плиз. Заранее благодарен!

[mr_sandman]

Была похожая проблема в конце года: пропадал нет и звук с описаной переодичностью. Зашёл на форум proline http://proline.net.ua/forum/viewtopic.php?t=3180 там рекомендуют поставить фаерволл, обратиться на форум Лаборатории Касперского или

напихать заплаток..перекрыть порты на оси))))

Мне помогло первое. Спустя две недели проблема повторилась у моего товарища, из другой сети, ему тоже помог Firewall.

[Junior]

Сенкс попробую

[Jimmy_Page]

Зараза.У меня уже 2 раза слетал звук. Хотел открыть муз.дорожку - "не найдено микшеров. приложение будет закрыто". Который раз переустанавливал дрова. И всё опять на месте(правда вчера проблема опять возникла), но ведь драйвера были установлены правильно и никогда не было такого. Может реально вирус в локалке поселился?

[Greeder]

Добро пожаловать!!!

[VotanNosferato]

Может офф топ но важно ,
В последнее время очень большая активность Сетевых атак , а в часности вирусов, червей, троянов пытающихся пробится через сеть на другие компы

Настоятельно Рекомендую всем срочно поставить антивирусы (у тех у кого нет) и обновить базы данных лечения\поисков вирусов, так как вирусы могут заразить незащищённый компютер с внешним ай пи практически за день Полностью!

Из личного анализа и наблюдения за ситуацией:

Сейчас в сети более активны Вирусы
1)отрубающие програмы Эмуляции,(в часности Даймон тулс)
2)Запрещяющие вход на конкретные сайты(например русановка нет,распостранённый вариант)
3)Запускающие экран смерти,
4)Вызывающие торможение системы или незапуск ёё вовсе...

Внимание Владельцам Ай Пи Поставьте антивирусы !!!!!

Защита от сетевых атак Сегодня
16.01.2009 12:18:19 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 12:19:02 TCP от 10.8.132.43 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 12:41:57 TCP от 10.8.132.32 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 12:45:44 TCP от 10.8.132.128 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 13:27:13 TCP от 10.8.132.161 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 13:34:17 TCP от 10.8.132.144 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 13:49:34 TCP от 10.8.132.63 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 13:50:49 TCP от 10.8.132.128 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 14:08:34 TCP от 10.8.135.52 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 14:13:06 TCP от 10.8.132.65 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 14:16:33 TCP от 10.8.132.85 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 14:33:37 UDP от 219.139.130.139 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
16.01.2009 14:49:39 TCP от 10.8.132.32 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 16:34:18 TCP от 10.8.132.100 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 17:06:53 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 17:26:13 TCP от 10.8.132.144 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 17:31:56 TCP от 10.8.132.183 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 19:09:24 TCP от 10.8.135.52 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
16.01.2009 19:14:16 UDP от 202.101.165.202 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern

Защита от сетевых атак Вчера
15.01.2009 1:13:33 UDP от 219.139.130.139 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
15.01.2009 1:36:02 UDP от 114.180.191.188 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
15.01.2009 3:20:57 UDP от 117.103.192.49 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
15.01.2009 10:57:12 TCP от 10.8.135.52 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 11:02:36 TCP от 10.8.132.100 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 11:07:44 TCP от 10.8.132.43 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 11:08:13 TCP от 10.8.132.144 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 11:16:30 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 11:24:48 TCP от 10.8.132.162 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 11:30:01 TCP от 10.8.132.63 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 12:07:35 TCP от 10.8.132.32 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 12:37:31 TCP от 10.8.132.128 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 13:52:11 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 13:53:31 TCP от 10.8.132.98 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 14:13:35 TCP от 10.8.132.161 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 14:16:45 TCP от 10.8.132.199 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 14:16:58 TCP от 10.8.132.65 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 14:38:59 TCP от 10.8.132.144 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 14:45:48 TCP от 10.8.132.162 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 15:06:09 TCP от 10.8.132.100 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 15:12:58 TCP от 10.8.132.63 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 17:03:38 UDP от 60.36.214.201 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
15.01.2009 17:12:50 TCP от 10.8.132.166 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 18:05:53 TCP от 10.8.132.161 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 18:05:58 TCP от 10.8.132.43 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 18:52:56 TCP от 10.8.132.85 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 18:53:43 UDP от 218.206.149.204 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
15.01.2009 18:56:08 TCP от 10.8.132.128 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 19:09:40 UDP от 122.6.171.135 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
15.01.2009 20:13:15 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 20:49:23 TCP от 10.8.132.63 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 20:49:44 TCP от 10.8.132.100 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 20:51:03 TCP от 10.8.132.31 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 21:07:50 TCP от 10.8.132.166 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 21:29:15 TCP от 10.8.132.144 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 21:29:15 TCP от 10.8.132.161 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 21:44:38 TCP от 10.8.132.69 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 22:04:07 TCP от 10.8.132.181 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 22:26:31 TCP от 10.8.132.65 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 22:37:58 TCP от 10.8.132.128 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 22:45:18 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 22:52:50 TCP от 10.8.132.236 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 23:10:13 TCP от 10.8.132.144 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 23:12:01 TCP от 10.8.132.85 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
15.01.2009 23:20:17 TCP от 10.8.132.43 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit


Защита от сетевых атак Позавчера

14.01.2009 16:57:32 TCP от 10.8.132.43 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 20:11:55 UDP от 122.138.251.204 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
14.01.2009 20:13:45 TCP от 192.168.30.1 на локальный порт 139 Отсутствует Обнаружено: DoS.Generic.SYNFlood
14.01.2009 20:13:46 TCP от 10.8.132.28 на локальный порт 445 Отсутствует Обнаружено: DoS.Generic.SYNFlood
14.01.2009 20:13:46 TCP от 192.168.209.1 на локальный порт 139 Отсутствует Обнаружено: DoS.Generic.SYNFlood
14.01.2009 21:26:26 UDP от 202.101.165.202 на локальный порт 1434 Отсутствует Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
14.01.2009 21:52:49 TCP от 10.8.132.166 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 21:58:40 TCP от 10.8.132.31 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 22:23:57 TCP от 10.8.132.169 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:29:40 TCP от 10.8.132.161 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:29:40 TCP от 10.8.132.63 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:29:41 TCP от 10.8.132.181 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:29:43 TCP от 10.8.132.199 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:29:44 TCP от 10.8.132.134 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:29:57 TCP от 10.8.132.43 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:32:00 TCP от 10.8.132.69 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:57:53 TCP от 10.8.132.162 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:57:54 TCP от 10.8.132.86 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:58:06 TCP от 10.8.132.115 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit
14.01.2009 23:58:47 TCP от 10.8.132.28 на локальный порт 445 Отсутствует Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit



Рекомендую для лечения Kaspersky Internet Security

[Gleb]

Обязательно нужно закрывать в файрволе все порты меньше 1024.
Если хотите давать доступ к своим файлам -- сделать исключение для доступа из всей локалки (для Русановки это сеть 10.8.0.0, маска 255.255.0.0 или диапазон адресов 10.8.0.0 -- 10.8.255.255) на TCP-порт 139 и своевременно обновлять винду.

[Junior]

Есть некоторые новости. Появился новый вирус-червь с несколькими разновидностями. Один из видов рубит интеренет(как в моём случае). Другой интернет не трогает, но зато рубит все сетевые подключения. Нельзя зайти ни на комп ни с компа. Недоступно ничего кроме инета. Период инкубации( как у болезней) от нескольких часов до 2-3х суток. Вирус блокирует либо обновление антивируса либо его установку. Вирус блокирующий доступ в инет убивает винду(проверено на личном печальном опыте и описано выше). Тот который не блокирует инет формирует немеряный исходящий траффик(что он шлёт хз). Практически ни один антивирус его не обнаруживает. Говорят помог реально только аваст и то только потому, что у него есть возможность проверки компа до загрузки винды. Также говорят дрвеб выпустил какую-то отдельную заплатку для лечения именно этой штуки. Виирус живучий шопесдец. Делает резервные копии себя любимого плюс состоит из нескольких частей, которые могут быть расположены на разных компах в сетке. Рассказал друг который работает в одном крупном фин. учреждении. Сеть на ~1500 компов с филиалами по городу. Говорит из-за этой сраки уже 3-й день на ушах стоят и побороть не могут. Говорит помогает фаервол (блокирует атаки вируса из сети), но если комп заражён то срака.

[Greeder]

Есть некоторые новости. Появился новый вирус-червь с несколькими разновидностями. Один из видов рубит интеренет(как в моём случае). Другой интернет не трогает, но зато рубит все сетевые подключения. Нельзя зайти ни на комп ни с компа. Недоступно ничего кроме инета. Период инкубации( как у болезней) от нескольких часов до 2-3х суток. Вирус блокирует либо обновление антивируса либо его установку. Вирус блокирующий доступ в инет убивает винду(проверено на личном печальном опыте и описано выше). Тот который не блокирует инет формирует немеряный исходящий траффик(что он шлёт хз). Практически ни один антивирус его не обнаруживает. Говорят помог реально только аваст и то только потому, что у него есть возможность проверки компа до загрузки винды. Также говорят дрвеб выпустил какую-то отдельную заплатку для лечения именно этой штуки. Виирус живучий шопесдец. Делает резервные копии себя любимого плюс состоит из нескольких частей, которые могут быть расположены на разных компах в сетке. Рассказал друг который работает в одном крупном фин. учреждении. Сеть на ~1500 компов с филиалами по городу. Говорит из-за этой сраки уже 3-й день на ушах стоят и побороть не могут. Говорит помогает фаервол (блокирует атаки вируса из сети), но если комп заражён то срака.

Та эта штука по сети во всю гуляет...
Лично мне этот вирусняк убил Др. Вэба нафиг... Отрубил ему доступ к обновлению и закрыл доступ на сайт))) Также отключил мне доступ на сайт майкрософта где можно скачать заплатки...
Поставил НОД32, но он его не увидел...

Вобщем юзнул прогу Trojan Remover, она его нашла и чёто с ним сделала...хз что)))
Поставил потом заплатку, после чего начал жутко тормозить нет, сайты грузятся минут 5-ть(((
Вобщем завтра займусь форматированием диска С и установкой новой винды.

[valiiik]

Была у меня проблема с svchost что блокировало и-нет, звук, помогла два способа:
1. Фаервол Outpost который блокировал все из подсети
2. Так как фаервол начал тормозить комп то поставил заплатки + Касперского Интернет Секьюрити 2009 (сам не ожидал но работает ОТЛИЧНО), блокируя атаки с разных айпи, причем не придерается к обычным приложениям и т.д