У меня интернет ADSL. Заметил что периодически (раз в 4 сек где-то) в трее индикатор сети мигает. Левый "телевизор". Посмотрел идет отправка некрупных пакетов 130 байт где-то. На сколько я понимаю при выгруженных аськах, скайпах, и других программ которые могут лазить в интернет периодически, ничего не должно ни приниматься ни отправляться.
Антивирусы CureIt, Nod32, AVZ все свежак (в день проверки) ничего не находят.
Это нормально или стоит какой-нить файрвол поставить, чтобы вычислить что это за зараза?
AVZ пишет что находит неизвестные перехватчики:
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AE891F8 -> перехватчик не определен
....и так далее.
Вроде с остановленным Nod32 всеравно натыкается на эти перехватчики. Остальное подозрений не вызывает.
Не так давно ПК был заражен каким-то adware называвшей себя антивирусом который заменил рабочий стол на свое сообщение "тревоги". Его и еще 19 троянов выковырял нодом и кьюритом.
Вобщим подытоживая вопрос такой: Нормален ли такой исходящий трафик? И если нет, то что посоветуете сделать чтобы его убрать.
Заранее благодарю за ответ.
Добавлено через 12 минут
Еще не знаю имеет это отношение к вопросу: периодически (раз в 2 часа) вылетает Explorer.exe (тот от которого пропадает task bar правда потом снова появляется) и снова загружается. может его тот же вирус погрыз?
Последний раз редактировалось ЛовецЧебуреков; 23.09.2008 в 02:19.
Причина: Добавлено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Все отключил, трафик всеравно идет.
Повторно после перезагрузки запускал AVZ
опять пишет:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtCreateKey (29) перехвачена (80623786->B9EA80E0), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC6CA2), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC7030), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80624B58->B9EA80C0), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC710, перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC6F8, перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC719A), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: