Показано с 1 по 12 из 12.

Приступы "бешенства" исходящего траффика... (заявка № 12162)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    6
    Вес репутации
    61

    Thumbs up Приступы "бешенства" исходящего траффика...

    На вкладке "сетевая активность" в моём Агнитуме (оутпост файрволл) обнаружил случайно неприятную штуку - через OpenVPN у меня фигачит исходящий траффик с бешеной скоростью... навскидку около сотни метров в минуту получается...

    Доктор Веб (базы ежедневно обновляются) нифига не нашёл...

    "Приступы" эти часто сопровождаются следующей фигнёй :
    Инет-соединение (АДСЛ), рвётся-восстанавливается с интервалом 1-2 секунды... максимум 5... иногда в течение продолжительного времени... полчаса-час...
    Во время одного из таких приступов я и заглянул в свой файрволл (сначала грешил на своего прова...), обнаружив утекающий траффик ... в приличном темпе... иной раз около метра в секунду...

    Что характерно - пока писал эти несколько строк (минута где-нить ушла) связи практически не было... АДСЛ включается на 1-2 секунды и вырубается на 5-10 секунд, НО!!! Файрволл показывает исходящий траффик непрерывным... да ещё и через OpenVPN.exe (она у меня тарелку спутниковую обслуживает... т.е. траффик только входящий по определению...)

    Чессказать - вообще нифига не понимаю - запросный-то канал у меня идёт через АДСЛ... оно вырублено - а траффик идёт бешеный НАРУЖУ... т.е. ИСХОДЯЩИЙ...
    (пока это дописываю - уже 400метров почти улетело - АХРЕНЕТЬ!!!...
    Более того - вырубаю адаптер модема программно (Виндой), а этому ггаду видимо пофигу... трафик в окошке "сетевая активность" файрволла ни на секунду не прерывается...

    Вопщем - мама дарагая...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Выполните скрипт, карантин по правилам:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\technotrend\tt-budget\dvbdata.exe','');
     QuarantineFile('C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm','');
    QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\WfxPrint2000.dll','');
     QuarantineFile('C:\WINDOWS\SOUNDMAN.EXE','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\tap0801.sys','');
     QuarantineFile('\SystemRoot\System32\sam_nv4_disp.dll','');
     QuarantineFile('\SystemRoot\system32\drivers\magicpvt.sys','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\fetnd5b.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Карантин по правилам. Можете самостоятельно проверить файл
    'C:\WINDOWS\SOUNDMAN.EXE
    на www.virustotal.com для быстроты.

  4. #3
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    6
    Вес репутации
    61
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    1. Выполните скрипт, карантин по правилам:...
    2. Карантин по правилам. Можете самостоятельно проверить файл на www.virustotal.com для быстроты.
    Спасибо Вам большое, Алекс... Скрипт выполнил...
    Файл проверил... чисто...
    А карантин по правилам - это типа подождать скока-то, пока они там отлежатся ?... Или прислать Вам архив с ними ?...

    Прошу прощения за ламерский вопрос...

    P.S. Кстати - этот зловред тока щас снова вылез "в эфир"...
    Я, злорадно ухмыляясь, выдёргиваю из модема телефонный провод - ему хоть бы хны... траффик крутицца по прежнему... я выдёргиваю до кучи даже USB (гы-гы-гы...)
    Т.е. модем уже висит на стене в гордом одиночестве, не имея ничего общего с моим компьютером, а исходящий траффик как фигачил со скоростью 100 метров в минуту - так и фигачит...
    Я открываю диспетчер задач, чтоб глянуть через какой адаптер идёт вся эта байда - а он (зловред) почему-то вдруг заткнулся, , на этот раз выбросив всего 180 метров с мелочью (обычно 400 метров примерно...)
    Использовал он Адаптер TAP-Win32 Adapter V8 (OpenVPN)... как, собсно, и прежде...

    Господи - как может траффик уходить наружу, если отключен модем ?...
    Мобыть он внутри машины гоняет эту хрень ?
    Тогда почему файрволл исходящий траффик адресует на тот же айпишник, с которым работает OpenVPN (тарелка), где по определению возможен только входящий траффик...
    Ведь когда я жму "дисконнект" у OpenVPN - он (зловред) вырубается...
    Значит он юзает именно эту тулзу...

    Вопщем - чем дальше в лес, тем толще партизаны... Говорила же мама - "учись!!!"...
    Изображения Изображения
    Последний раз редактировалось NOBEL; 04.09.2007 в 10:24.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    "Карантин по правилам" - это , в вашем случае, загрузить карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=12162 , как написано в прил.3 правил

  6. #5
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    6
    Вес репутации
    61
    Цитата Сообщение от Numb Посмотреть сообщение
    "Карантин по правилам" - это , в вашем случае, загрузить карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=12162 , как написано в прил.3 правил
    Спасибо дружище !!!... Отправил...

    Прошу прощения за отсутствие совести...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В карантине пришел битый архив. Пожалуйста, отправьте его еще раз. И еще вопрос: трафик идет по виртуальному соединению. А какое устройство использует OpenVpn для создания виртуального соединения? Ваш ADSL - модем?

  8. #7
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    6
    Вес репутации
    61
    Цитата Сообщение от Numb Посмотреть сообщение
    В карантине пришел битый архив. Пожалуйста, отправьте его еще раз.
    Отправил... Только щас понял, что я с паролем перемудрил (И ВО ВТОРОЙ РАЗ ТОЖЕ)...
    Она avz4 же по умолчанию его ставит, а я, дятел, сам добавил пароль "virus"... вот наверное и проблема...
    Рискнуя нарвацца на неприятности, отправил следом (В ТРЕТИЙ РАЗ) "нетронутый" архив, созданный avz4, без моего "вмешательства"...
    Файл сохранён как 070904_085540_virus_46dd63dcf3b04.zip
    Размер файла 112023
    MD5 c502de396e12b8015dffb2b48f7d55b3

    И еще вопрос: трафик идет по виртуальному соединению. А какое устройство использует OpenVpn для создания виртуального соединения? Ваш ADSL - модем?
    Чессказать, как и любой ламер, я могу ошибацца, в маршрутизации я нифига не понимаю, как фпрочем и во многом другом, но из физических устройств у меня только АДСЛ модем и две сетевые платы - TechnoTrend DVBsat PCI budget адаптер (через него OpenVpn получает входящий траффик...) и VIA Rhine II Fast Ethernet Adapter (он вроде пока "не при делах"...), исходящий же идёт через TAP-Win32 Adapter V8 и ADSL модем,
    Единственное, что могу сказать точно, так это то, что на модеме исходящий траффик сильно превышает входящий... а на ТехноТренде - наоборот...
    Мобыть есть какой-нить простой способ узнать - какое из устройств она использует для создания соединения ? Типа для чукчей... пошагово - открыть "то", нажать "то", прочитать "там" ?...

    Повторюсь - в момент "выхода зловреда" я даже выдёргивал из модема все провода, и телефонный и USB, но файрволл всё равно показывал непрерывный бешеный исходящий траффик по UDP протоколу на тот же удалённый адрес, что и обычно ( с которым OpenVpn работает в "состоянии покоя"...)

    Господи.. как же с нами, ламерами трудно...

    Добавлено через 3 часа 6 минут

    Цитата Сообщение от Numb Посмотреть сообщение
    И еще вопрос: трафик идет по виртуальному соединению. А какое устройство использует OpenVpn для создания виртуального соединения? Ваш ADSL - модем?
    Вот что ещё нарыл :
    При коннекте OpenVpn открывает окно, в котором пишет логи соединения кажецца...
    Так вот - там (в этом окне) адаптер упомянут только один :
    TAP-WIN32 device [TAP-Win32 Adapter V8]
    Последний раз редактировалось NOBEL; 04.09.2007 в 21:16. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Присланные файлы по вирустоталу чистые...

  10. #9
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    6
    Вес репутации
    61
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Присланные файлы по вирустоталу чистые...
    М-мда-а-а...
    А мой "зловред" тем временем уже поумнел... сильно связь не рвёт... выскочит... одним ударом выбросит сотню метров траффика и обратно... в кусты...

    Чё ж делать-то, братцы ?...
    Што мы имеем :

    Шпион пользуется услугами OpenVPN по протоколу UDP, мало того - его деятельность я НАБЛЮДАЮ В РЕАЛЬНОМ ВРЕМЕНИ (он правда много времени сейчас не даёт... минута в среднем... )...
    Так неужели нет средств, чтобы засечь - КТО активен в этот момент в системе ?...
    Тем более ТАК активен (у меня проц грузицца на 99% во время его работы)...
    Или вычленить как-то "парциальную" составляющую в общем траффике, проходящем через эту прогу, чтобы обнаружить адрес исходящих пакетов ?...
    Системные средства (да и файрволл тоже) "говорят" - openvpn.exe, но "разложить" то траффик можно как-нить ?... Или я ошибаюсь ?...

    Мобыть нужно снять с чего-нить логи ИМЕННО ВО ВРЕМЯ РАБОТЫ "зловреда" - не вопрос, братцы... с удовольствием...
    Только скажите с чего, и , мобыть - как... Сделаю в лучшем виде...

    Да... и спасибо Вам, братцы, за Вашу работу...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Я могу, конечно, ошибаться, но, похоже, что вредит вам не вирус, просто та сетевая карта, которую использует OpenVPN, переведена в promiscuous mode. Если провайдер не настаивает на использовании именно openVPN, попробуйте какое-нибудь другое VPN-решение. Попробуйте так же обратиться в службу тех. поддержки вашего провайдера. Очень похоже, что проблема не с вирусами а с настройками сетевых карт и/или VPN соединения.

  12. #11
    Junior Member Репутация
    Регистрация
    04.09.2007
    Сообщений
    6
    Вес репутации
    61
    Цитата Сообщение от Numb Посмотреть сообщение
    Я могу, конечно, ошибаться, но, похоже, что вредит вам не вирус, просто та сетевая карта, которую использует OpenVPN, переведена в promiscuous mode. Если провайдер не настаивает на использовании именно openVPN, попробуйте какое-нибудь другое VPN-решение. Попробуйте так же обратиться в службу тех. поддержки вашего провайдера. Очень похоже, что проблема не с вирусами а с настройками сетевых карт и/или VPN соединения.
    Понял... Спасибо... попробую тряхнуть саппорт прова...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 69
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) NOBEL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 5
      Последнее сообщение: 08.11.2010, 16:50
    3. Слишком много исходящего траффика...
      От JJJ в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 22.02.2009, 08:33
    4. Слишком много "кушается" траффика.
      От TUOv в разделе Помогите!
      Ответов: 48
      Последнее сообщение: 22.02.2009, 05:25
    5. Ответов: 2
      Последнее сообщение: 01.11.2008, 17:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01380 seconds with 20 queries