Похоже я стал членом уютного ботнета. Но он неуловим.

**Barriage** · 20.02.2012, 11:56

Добрый день! Ситуация такова - в сети на всех компьютерах периодически начинает жестоко тормозить интернет, вплоть до невозможности пользоваться. Вместо железного роутера поставил прокси с возможностью ведения логов. Результат не заставил себя долго ждать - некоторые машины устанавливают по 300 соединений на один и тот же IP на высоких (40000+) UDP портах.
Выглядит это так proxy screen.jpg

На самом же компьютере, от которого идут эти соединенияни netstat ни tcpview не видят этих исходящих соединений.
Вот собственно данные этих утилит:
раз local screen.jpg
два

Код:

 Активные подключения    
Имя    Локальный адрес        Внешний адрес          Состояние  
TCP    127.0.0.1:5357         127.0.0.1:49703        TIME_WAIT   
TCP    127.0.0.1:5939         127.0.0.1:49169        ESTABLISHED  [TeamViewer_Service.exe]   
TCP    127.0.0.1:5939         127.0.0.1:49274        ESTABLISHED  [TeamViewer_Service.exe]  
TCP    127.0.0.1:49167        127.0.0.1:49168        ESTABLISHED  [TeamViewer.exe] 
TCP    127.0.0.1:49168        127.0.0.1:49167        ESTABLISHED  [TeamViewer.exe]   
TCP    127.0.0.1:49169        127.0.0.1:5939         ESTABLISHED  [TeamViewer.exe]   
TCP    127.0.0.1:49272        127.0.0.1:49273        ESTABLISHED  [TeamViewer_Desktop.exe] 
TCP    127.0.0.1:49273        127.0.0.1:49272        ESTABLISHED  [TeamViewer_Desktop.exe]  
TCP    127.0.0.1:49274        127.0.0.1:5939         ESTABLISHED  [TeamViewer_Desktop.exe]  
TCP    127.0.0.1:49698        127.0.0.1:12080        TIME_WAIT 
TCP    127.0.0.1:49701        127.0.0.1:12080        TIME_WAIT  
TCP    192.168.0.180:49186    157.56.52.19:40001     ESTABLISHED  [Skype.exe]   
TCP    192.168.0.180:49187    193.120.199.15:12350   ESTABLISHED  [Skype.exe]   
TCP    192.168.0.180:49189    95.101.46.161:443      CLOSE_WAIT  [Skype.exe]   
TCP    192.168.0.180:49190    95.101.46.161:443      CLOSE_WAIT  [Skype.exe]   
TCP    192.168.0.180:49198    95.101.46.161:443      CLOSE_WAIT  [Skype.exe]   
TCP    192.168.0.180:49199    95.101.46.161:443      CLOSE_WAIT  [Skype.exe]   
TCP    192.168.0.180:49200    95.101.46.161:443      CLOSE_WAIT  [Skype.exe]   
TCP    192.168.0.180:49201    95.101.46.161:443      CLOSE_WAIT  [Skype.exe]   
TCP    192.168.0.180:49247    178.18.4.32:11587      ESTABLISHED  [Skype.exe]   
TCP    192.168.0.180:49252    95.26.169.14:32762     ESTABLISHED  [Skype.exe]   
TCP    192.168.0.180:49255    46.42.38.205:5938      ESTABLISHED  [TeamViewer_Service.exe]   
TCP    192.168.0.180:49270    89.188.104.59:5938     ESTABLISHED  [TeamViewer_Service.exe]   
TCP    192.168.0.180:49653    192.168.0.1:3389       ESTABLISHED  [mstsc.exe]   
TCP    192.168.0.180:49677    178.18.4.32:11587      TIME_WAIT   
TCP    192.168.0.180:49688    178.206.181.205:28333  ESTABLISHED  [Skype.exe]  
TCP    192.168.0.180:49689    95.26.169.14:32762     ESTABLISHED  [Skype.exe]   
TCP    192.168.0.180:49697    178.206.181.205:28333  TIME_WAIT   
TCP    192.168.0.180:49699    192.168.0.198:80       TIME_WAIT   
TCP    192.168.0.180:49700    192.168.0.1:139        TIME_WAIT   
TCP    192.168.0.180:49702    192.168.0.222:80       TIME_WAIT   
TCP    192.168.0.180:49704    192.168.0.200:445      ESTABLISHED

Никакие ремувал тулы (ни касперского ни дрвеба) ничего не находят на "виновнике". Соответственно вот логи сканов
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.02.2012, 11:58

Уважаемый(ая) Barriage, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Barriage** · 20.02.2012, 13:19

UPD: Похоже эа штука самообучается или в этом роде - закрыв на проксе 40000+ UDP порты внаружу, начало соединять на 11000 +

**thyrex** · 20.02.2012, 15:29

Скачайте AVZ 4.37, обновите его базы и переделайте логи

**Barriage** · 20.02.2012, 16:02

Готово!

virusinfo_syscheck.zip
virusinfo_syscure.zip

**thyrex** · 20.02.2012, 21:32

Переустановили систему??? Ибо логи совершенно с иной системы

**Barriage** · 22.02.2012, 09:16

Абсолютно точно нет.

**thyrex** · 22.02.2012, 20:37

Гы, логи в первом сообщении от 2009 года.

В последних логах порядок

**Barriage** · 24.02.2012, 09:47

Сообщение от thyrex

Гы, логи в первом сообщении от 2009 года.

Хм, может перепутал что, хотя откуда у меня логи 2009 года.

Сообщение от thyrex

Гы, логи в первом сообщении от 2009 года.

В последних логах порядок

Но скан портов с этой машины тем не менее идет.

**Barriage** · 29.02.2012, 14:46

Есть еще надежда на помощь? Закрывать порты не дело, а обратный канал на адсл тонкий и вырубает весь инет. И переустанавливать все компы в сетке тоже анриал.
Может еще чем нибудь просканировать, или образ системы прислать?

Похоже я стал членом уютного ботнета. Но он неуловим. (заявка № 116886)

Опции темы

Похоже я стал членом уютного ботнета. Но он неуловим.

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Зловред неуловим :Е

Метки для этой темы

Ваши права в разделе