Похоже я стал членом уютного ботнета. Но он неуловим.

Вложений: 5

Добрый день! Ситуация такова - в сети на всех компьютерах периодически начинает жестоко тормозить интернет, вплоть до невозможности пользоваться. Вместо железного роутера поставил прокси с возможностью ведения логов. Результат не заставил себя долго ждать - некоторые машины устанавливают по 300 соединений на один и тот же IP на высоких (40000+) UDP портах.
Выглядит это так [ATTACH=CONFIG]351844[/ATTACH]

На самом же компьютере, от которого идут эти соединенияни netstat ни tcpview не видят этих исходящих соединений.
Вот собственно данные этих утилит:
раз [ATTACH=CONFIG]351845[/ATTACH]
два [code] Активные подключения
Имя Локальный адрес Внешний адрес Состояние
TCP 127.0.0.1:5357 127.0.0.1:49703 TIME_WAIT
TCP 127.0.0.1:5939 127.0.0.1:49169 ESTABLISHED [TeamViewer_Service.exe]
TCP 127.0.0.1:5939 127.0.0.1:49274 ESTABLISHED [TeamViewer_Service.exe]
TCP 127.0.0.1:49167 127.0.0.1:49168 ESTABLISHED [TeamViewer.exe]
TCP 127.0.0.1:49168 127.0.0.1:49167 ESTABLISHED [TeamViewer.exe]
TCP 127.0.0.1:49169 127.0.0.1:5939 ESTABLISHED [TeamViewer.exe]
TCP 127.0.0.1:49272 127.0.0.1:49273 ESTABLISHED [TeamViewer_Desktop.exe]
TCP 127.0.0.1:49273 127.0.0.1:49272 ESTABLISHED [TeamViewer_Desktop.exe]
TCP 127.0.0.1:49274 127.0.0.1:5939 ESTABLISHED [TeamViewer_Desktop.exe]
TCP 127.0.0.1:49698 127.0.0.1:12080 TIME_WAIT
TCP 127.0.0.1:49701 127.0.0.1:12080 TIME_WAIT
TCP 192.168.0.180:49186 157.56.52.19:40001 ESTABLISHED [Skype.exe]
TCP 192.168.0.180:49187 193.120.199.15:12350 ESTABLISHED [Skype.exe]
TCP 192.168.0.180:49189 95.101.46.161:443 CLOSE_WAIT [Skype.exe]
TCP 192.168.0.180:49190 95.101.46.161:443 CLOSE_WAIT [Skype.exe]
TCP 192.168.0.180:49198 95.101.46.161:443 CLOSE_WAIT [Skype.exe]
TCP 192.168.0.180:49199 95.101.46.161:443 CLOSE_WAIT [Skype.exe]
TCP 192.168.0.180:49200 95.101.46.161:443 CLOSE_WAIT [Skype.exe]
TCP 192.168.0.180:49201 95.101.46.161:443 CLOSE_WAIT [Skype.exe]
TCP 192.168.0.180:49247 178.18.4.32:11587 ESTABLISHED [Skype.exe]
TCP 192.168.0.180:49252 95.26.169.14:32762 ESTABLISHED [Skype.exe]
TCP 192.168.0.180:49255 46.42.38.205:5938 ESTABLISHED [TeamViewer_Service.exe]
TCP 192.168.0.180:49270 89.188.104.59:5938 ESTABLISHED [TeamViewer_Service.exe]
TCP 192.168.0.180:49653 192.168.0.1:3389 ESTABLISHED [mstsc.exe]
TCP 192.168.0.180:49677 178.18.4.32:11587 TIME_WAIT
TCP 192.168.0.180:49688 178.206.181.205:28333 ESTABLISHED [Skype.exe]
TCP 192.168.0.180:49689 95.26.169.14:32762 ESTABLISHED [Skype.exe]
TCP 192.168.0.180:49697 178.206.181.205:28333 TIME_WAIT
TCP 192.168.0.180:49699 192.168.0.198:80 TIME_WAIT
TCP 192.168.0.180:49700 192.168.0.1:139 TIME_WAIT
TCP 192.168.0.180:49702 192.168.0.222:80 TIME_WAIT
TCP 192.168.0.180:49704 192.168.0.200:445 ESTABLISHED [/code]

Никакие ремувал тулы (ни касперского ни дрвеба) ничего не находят на "виновнике". Соответственно вот логи сканов
[ATTACH]351846[/ATTACH]
[ATTACH]351847[/ATTACH]
[ATTACH]351848[/ATTACH]

Уважаемый(ая) [B]Barriage[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

UPD: Похоже эа штука самообучается или в этом роде - закрыв на проксе 40000+ UDP порты внаружу, начало соединять на 11000 +

Скачайте AVZ 4.37, обновите его базы и переделайте логи

Вложений: 2

Готово!

[ATTACH]351888[/ATTACH]
[ATTACH]351889[/ATTACH]

Переустановили систему??? Ибо логи совершенно с иной системы

Абсолютно точно нет.

Гы, логи в первом сообщении от 2009 года.

В последних логах порядок

[QUOTE=thyrex;870447]Гы, логи в первом сообщении от 2009 года.[/QUOTE]

Хм, может перепутал что, хотя откуда у меня логи 2009 года.

[QUOTE=thyrex;870447]Гы, логи в первом сообщении от 2009 года.

В последних логах порядок[/QUOTE]
Но скан портов с этой машины тем не менее идет.

Есть еще надежда на помощь? Закрывать порты не дело, а обратный канал на адсл тонкий и вырубает весь инет. И переустанавливать все компы в сетке тоже анриал.
Может еще чем нибудь просканировать, или образ системы прислать?