Подозрение на СпамБота

Провайдер уверяет меня что я спамлю. Да я и сам вижу стабильный исходящий трафик. Если выкидываю из памяти "svchosts.exe -k netsvcs" то вместе с ним и убивается зловредный трафик. Понимаю что многие используют этот процесс в мирных целях, но вычленить бяку не могу, не хватает понимания устройства винды :(

Подскажите где копать.

Первый 14 пунктов правил изучил, действия описанные в них совершил (правда антивирус NOD32 до конца не выкидывал при проверке, только отключил, вроде так было рекомендовано).

Логи прилагаю.

P.S. Видимо важный симптом: при выполнении пункта 9 (перезагрузка после запуска AVZ в первый раз, с лечением) виндоус вылетала после входа в систему (то есть после меню выбора пользователя). Вылетала наглухо ничего не спросив, два раза, с третьей попытки вошёл.

Ничего подозрительного в логах не видно...
Только один вопрос:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.138.53.197:3128[/code]
Это сами прописывали?

[QUOTE=Bratez;184496]Только один вопрос:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.138.53.197:3128[/code]
Это сами прописывали?[/QUOTE]
Угу ;)
[QUOTE]inetnum: 82.138.53.192 - 82.138.53.223
netname: COMCOR-Komitetfizicheskoykuljturyisporta
descr: Network for Komitet fizicheskoy kuljtury i sporta
country: RU
admin-c: GYA4-RIPE
tech-c: GYA4-RIPE
status: ASSIGNED PA
notify: [email][email protected][/email]
mnt-by: AS8732-MNT
source: RIPE[/QUOTE]
так что м.б. спам с другого компа идет

Не могу точно ответить. Не первый пользователь на этом компьютере (офисная машина досталась по наследству). Возможно что сам. Эта настройка в IE вроде бы не активна. По крайней мере галочка "использовать прокси" не стоит. Да и не пользуюсь я IE, а пользуюсь Мозиллой. На всякий случай стёр.

Как ещё можно поглубже покопать систему?
Возможно ли посмотреть как-то происхождение исходящего трафика?

Обновлённый лог.

[QUOTE=hyppopotam;184505]Возможно ли посмотреть как-то происхождение исходящего трафика?[/QUOTE]установите файрволл с протоколированием соединений или что-нибудь типа Wireshark

[quote=Rene-gad;184513]установите файрволл с протоколированием соединений или что-нибудь типа Wireshark[/quote]

Поставил Wireshark.
Извините что не дождался просьбы показать результаты.
Сам пока не разобрался с этим файрволом. Посмотрите пожалуйста его лог и скажите мне нормальный ли он? (формат .pcap предложили по умолчанию)

P.S. Уже начинаю думать что может я просто параноик и перебдел? А трафик у меня нормальный? Потому что вижу только обращения к роутеру и в локалке :(
P.P.S. Пока писал лог ничего не делал. ICQ погасил, браузерами не пользовался.

[QUOTE=hyppopotam;184535]Сам пока не разобрался с этим файрволом. [/QUOTE] а это и не файрволл вообще :). но и я ничего подозрительного не обнаружил. Как я понял - в время записи протокола Вы не забирали и не отправляли почту. Попробуйте сделать и то и другое и посмотрите - с чем соединяется почтовая программа (соединения по POP и SMTP - протоколам).

[quote=Rene-gad;184545]а это и не файрволл вообще :).[/quote]
Простите ламера. Староват уже вникать. Активно пользуюсь ПК с 1988 года. БК, МС0585, XT, AT... ФОДОС, RT-11, MS-DOS... Win3.11 ещё мог понимать, но с появлением Win-95 выбился из колеи и теперь чувствую себя весьма неуютно. В сетях вообще туго соображаю :( Вы мне пальцем покажите где копать, я раскопаю.

P.S. Книжку "Безопасный интернет..." скачал. Ставлю на смартфон читалку PDF и в ближайшие дни её прочту. Буду навёрстывать упущенное за 10 лет ;)

[QUOTE=hyppopotam;184550]Староват уже вникать.[/QUOTE] Так и я уже не мальчик:). И тоже с ДОСа стартовал.
[QUOTE]Вы мне пальцем покажите где копать, я раскопаю.[/QUOTE]
Вы насчет файрволла? Так это в общем и целом фильтр, который пакеты данных в сети проверяет. [URL="http://ru.wikipedia.org/wiki/%D0%A4%D0%B0%D0%B9%D1%80%D0%B2%D0%BE%D0%BB"]Тут [/URL] почитать можно. Да и в книжке об этом написано.

Кстати Wireshark показывает три устройства в машине.
Помимо сетевой карточки есть:
Adapter for generic dualup and VPN capture.
MS Tunnel Interface Driver.
Первый совсем не активен, второй раз в четыре секунды пакет выдаёт, но вроде бы они совсем ни при чём.

[quote]Вы насчет файрволла? Так это в общем и целом фильтр, который пакеты данных в сети проверяет. Тут почитать можно. Да и в книжке об этом написано.[/quote]Нет я именно насчёт WireShark'а. Как с помощью него найти кем именно был создан тот или иной пакет вызывающий у меня подозрение? Меня, например, очень смущает частая пересылка HTTP/XML. Как узнать какая софтина это делает, чтобы понять для чего.

Что-то у меня с почтой странное. Сменил пароль (чтобы показать лог, а то он там не шифруется) с новым паролем через web-интерфейс (mail.ru) почта доступна. А через TheBat! выдаёт ошибку. Хотя пароль правильный (на тот момент установил пароль "virusinfo"). То ли mail.ru колбасит, то ли я чего-то не понимаю.

В любом случае лог даю (извините за траффик, чуть по-длиннее лог). Может вы там что-то видите.

P.S. У меня в состоянии покоя траффик идёт. Вот это меня беспокоит. Может какая софтина обновления смотрит. Может устройства опрашиваются. А может спам. Не знаю. Но знаю что мой IP в блек-лист попал как спамер и это удручает :( Знать бы хоть как выглядит трафик у спам-бота.
P.P.S. Ещё раз простите если я параноик :)

У протоколу POP только Бат обращается. Тут вроде бы всё нормально.
А всё-таки что за HTML/XML по несколько раз в секунду идут? Это нормально?

[QUOTE=hyppopotam;184592]Нет я именно насчёт WireShark'а. [/QUOTE]Я эту программу тоже не знаю досконально - просто в гугле на [I]контроль трафика[/I] нашел. Попробуйте установить Sygate 5.5 или 5.6 - файрволл старый и уже пару-тройку лет не поддерживается, но протоколирует отменно. Кстати и WinXP SP2 - файрволле можно протоколирование включить. А IP, который фиксирует провайдер, не с Вашего ПК, а с вашего сервера. Т.е. если есть еще к нему подключенные машины, то спам и с них может идти.

[quote=Rene-gad;184608]А IP, который фиксирует провайдер, не с Вашего ПК, а с вашего сервера. Т.е. если есть еще к нему подключенные машины, то спам и с них может идти.[/quote]
Это понятно. Роутер (он у нас аппаратный, как видно из лога это D-Link) один на всех. Само собой.

Спасибо большое, немного успокоили.
Но всё-таки я попытаюсь ещё покопать. Если будут вопросы — обращусь.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 46 минут[/I][/B][/color][/size]

Поставил файрвол Sygate. Вроде разобрался в целом что там где.
Скриншот: [url]http://www.ljplus.ru/img4/h/y/hyppopotam/NOD.gif[/url]
Поясните, правильно ли я понимаю что беспокоивший меня траффик NOD32 создаёт?
Или всё-таки что-то зловредное может под NOD маскироваться?
И если это действительно NOD, то о чём они могут с моим роутером часами беседовать?

P.S. Попробую отключить NOD. Посмотрю что поменяется.

[QUOTE=hyppopotam;184616]Попробую отключить NOD. Посмотрю что поменяется.[/QUOTE]Это небезынтересно. Хотя ни одно из указаных в скриншоте приложений не вызвало у меня подозрений. AFAIR Sygate пишет еще лог по портам и IP-адресам ( не спашивайте, как он точно называется :) , но там всего 4 лога ). НОД у Вас легальный? Попробуйте написать в поддержку с этим скриншотом вместе.
ПС: Вы триальную версию Sygate скачали:), а не freeware. Может через 30 дней активации потребовать. Freeware тут: [url]http://www.simtel.net/product.download.mirrors.php?id=53687[/url] 2 файрволла быть на системе не должно!!! Если хотите поставить freeware - удалите триалку.