Идет лишний траффик

Printable View

07.09.2007, 21:16
voron73

Вложений: 3

Идет лишний траффик

Лог Sygate Firewall:
Allowed Incoming TCP 77.45.142.242 59540 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.142.242 59540 192.168.1.34 6883
Allowed Incoming TCP 77.45.133.28 11926 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.133.28 11926 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.133.28 11926 192.168.1.34 6883
Allowed Incoming TCP 77.45.131.163 11329 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.131.163 11329 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.131.163 11329 192.168.1.34 6883
Allowed Incoming TCP 77.45.154.169 3789 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.154.169 3789 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.154.169 3789 192.168.1.34 6883
Allowed Incoming TCP 77.45.170.227 2060 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.170.227 2060 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.170.227 2060 192.168.1.34 6883
Allowed Incoming TCP 77.45.142.106 2551 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.142.106 2551 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.142.106 2551 192.168.1.34 6883
Allowed Incoming TCP 77.45.166.242 11453 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.166.242 11453 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.166.242 11453 192.168.1.34 6883
Allowed Incoming TCP 77.45.142.107 3807 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.142.107 3807 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.142.107 3807 192.168.1.34 6883
Allowed Incoming TCP 77.45.136.107 2054 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.136.107 2054 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.136.107 2054 192.168.1.34 6883
Allowed Incoming TCP 77.45.163.241 10574 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.163.241 10574 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.163.241 10574 192.168.1.34 6883
Allowed Incoming TCP 77.45.145.95 10866 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.145.95 10866 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.145.95 10866 192.168.1.34 6883
Allowed Incoming TCP 77.45.149.154 2244 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\dsnpfd.sys
Allowed Incoming TCP 77.45.149.154 2244 192.168.1.34 6883 D:\WINDOWS\system32\DRIVERS\ndisuio.sys
Blocked Incoming TCP 77.45.149.154 2244 192.168.1.34 6883
Из программ запущены только Dr WEB и Sygate Firewall.
07.09.2007, 22:30
V_Bond

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\System32\drivers\nvemu.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
07.09.2007, 23:15
voron73

Прислал
07.09.2007, 23:35
V_Bond

nvemu.SYS - пока под подозрением ... подождем что скажет вирлаб ....
07.09.2007, 23:48
voron73

virustotal 1/35
Слабо...
07.09.2007, 23:50
V_Bond

сделайте пока такой лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
08.09.2007, 02:46
voron73

Вложений: 1

Добавил
09.09.2007, 23:27
voron73

И что мне делать дальше?
09.09.2007, 23:43
V_Bond

nvemu.SYS -чистый ... в ваших логах не вижу ничего зловредного ....
role: VSI NOC
address: CenterTelecom Voronezh ISP Network Operation Center
address: 35, Revolyutsii pr.
address: 394000
address: Voronezh
address: Russian Federation
это не ваш ли провайдер ?
10.09.2007, 00:06
voron73

Да, это мой провайдер.
А почему активность у ndisuio.sys и dsnpfd.sys?
10.09.2007, 00:34
V_Bond

ndisuio.sys (NDIS User Mode I/O driver), посылыет и принимает пакеты для безпроводного соединения ....
dsnpfd.sys(драйвер BWMeter ...NDIS packet redirector driver ....
оба вполне легальные и запускаются ХР по дефолту...
10.09.2007, 00:34
drongo

ndisuio.sys- можно смело отключить, если нет ничего от беспроводных мышек/клавиатур и других беспроводных зверей. Спокойней будет в логах ;)Делается просто: в сервисах отключаешь
Wireless Zero Configuration.
вот нашёл про него : [url]http://www.iceteks.com/articles.php/ndisuio/1[/url]
10.09.2007, 01:16
voron73

Спасибо, т.е. то, что они общаются с локальными адресами в сети - это ничего страшного?
1. dsnpfd.sys общается, но BWMeter хотя и установлен, но не запущен.
2. ndisuio.sys отключать не хочется, т.к. есть BT - телефон.
11.09.2007, 21:56
voron73

Мне считать проблему решенной?
11.09.2007, 22:08
V_Bond

... в ваших логах не вижу ничего зловредного ....
22.02.2009, 02:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]