Подозрительная сетевая активность.

Локальная сеть, примерно 10 компьютеров.
Прокси сервер для выхода в интернет.

Судя по логам с коммутатора, осуществляется syn-сканирование шлюза по умолчанию на 23 порт (telnet).

Сканирование (если это действительно сканирование) идет с ip адресов компьютеров, на которых ОС Windows 7. C windows xp такой активности не замечено.

Сканирование идет каждый день всегда в одно и то же время, (не со всех компьютеров одновременно, а с каждого компа в свое время)

Поиск Касперским и Доктором вебом с загрузочных флешек ничего не нашел.

Wireshark запущенный на одном из компьютеров с фильтром по ip адресу шлюза по умлочанию поймал только обратные пакеты от шлюза, ICMP destination unreachable.

ProcessMonitor запущенный параллельно с Шарком, в точное время поимки пакетов шарком, вроде бы не показал ничего подозрительного.
(есть скриншоты, очень наглядно показывающие то, что я сейчас написал, но инструкция запрещает их прикреплять без приказа)

Если компьютер выключен, то в логах с коммутатора записей про него не появляется.

Что это может быть? Вирус или нормальное поведение операционки от Microsoft, которая все больше стремится к захватыванию контроля за нашими компьютерами?

Уважаемый(ая) [B]Александр З[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
QuarantineFile('E:\autorun.inf', '');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Приложите новый лог AVZ.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

Добрый день.
До того, как я получил (прочитал) сообщение с новыми инструкциями, я сделал следующее:
Удалил антивирус Аваст, поставил Kaspersky Endpoint security.
Запустил снифер на порту коммутатора (до этого он работал только на компьютере). На компьютере был осуществлен вход под учетной записью администратора. (Сотрудник, которому принадлежит основная рабочая учетка в отпуске).

С момента совершения этих действий до сегодняшнего дня (сотрудник вышел из отпуска) снифер ничего подозрительного не поймал. Т.е. или касперский срабатыввает, но ничего не сообщает при этом, или зловред затаился/исчез.

Кроме того, был поставлен на прослушку другой компьютер так же на порту коммутатора, и снифер действительно поймал SYN сканирование 40 различных стандартных портов начиная с 20-го.

Теперь, что касается новых инструкций.
1. Первый скрипт выполнил, компьютер перезагрузился, но в какой-то момент появилось окошко с кучей вопросительных знаков и словом AVZ в середине. Нажал ОК.

2. Второй скрипт выполнил.

3. Не совсем понятно что за "новый лог AVZ" надо приложить, и что за лог AdwCleaner. На всякий случай, для AVZ выполнил два скрипта из самой первой инструкции, а для AdwCleaner сканирование по умолчанию. Эти логи прикладываю.

Все ли я сделал правильно?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Что делать с другими компьютерами?

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Вот.
На всякий случай напоминаю, что с этого компьютера (комп №12) уже не регистрируются попытки сканирования. Готов препарировать какой-нибудь другой компьютер, если скажете.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Замечены проблемы с диском (hdd):
[CODE]Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.[/CODE]

вот

Ничего плохого не было обнаружено на данном ПК.
Сообщите, если проблема еще проявляется на данном ПК?

P.S. Для других ПК создавайте для каждого отдельную заявку.

На данном ПК проблема уже не проявляется, начиная с 1 июля. И похоже, что на всех компьютерах, где аваст был заменен на Касперского (End Point Security) проблема исчезает.
Неужели возможно, что дело было в Авасте? Кстати, я всё еще могу приложить скрины сниферов, чтобы не быть голословным.

Возможны варианты и ложного срабатывания Avast, к сожалению по работе антивирусного ПО Avast, я Вам не подскажу, лучше данный вопрос уточнить у разработчика данного антивирусного обеспечения.

Если других вопросов нет, то:

1. Для удаления утилит, которые использовались в лечении скачайте [URL="https://toolslib.net/downloads/finish/2/"]DelFix[/URL] и сохраните утилиту на [B]Рабочем столе[/B].

2. Запустите [B]DelFix[/B].
[SIZE=1][B]Важно[/B], для работы утилиты необходимо запускать от имени Администратора. По умолчанию в[B] Windows XP[/B] так и есть. В [B]Windows Vista/7/8/8.1/10[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]Да[/B][/SIZE]

3.В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B]

4. Нажмите на кнопку [B]Run[/B].

5. После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B] (C:\delfix.txt)

6. Прикрепите этот отчет в вашей теме.


[URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Спасибо большое за помощь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]