Генерируется исходящий трафик

Printable View

11.09.2008, 13:30
TITOCH

Вложений: 3

Генерируется исходящий трафик

День добрый.

На одном из компьютеров сети был замечен большой исходящий трафик. Комп шлет (кажется) пакеты UDP на разные порты разных IP адресов. При помощи антихакера -> мониторинга сети было замечено что иногда процесс avp.exe по 110 порту пытается что то слать, но конекшн тут же отрубается. Однако на сервере (шлюзе) где стоит Winroute, от компьютера зараженного, остаются конекшены со статусом TIME_WAIT. В итоге зараженный комп генерит за 2 часа штук 5000 таких конекшенов которые в свою очередь кладут Winroute.

На зараженном компьютере стоит KAV 6.0.3.837, Windows XP SP2 corporate edition + постоянно происходит обновление Windows.
11.09.2008, 13:33
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\00000E26.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\00000E26.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
11.09.2008, 14:16
TITOCH

Вложений: 3

Попытка №2
11.09.2008, 14:37
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\00000E26.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aipheqfxnodvc.sys','');
DeleteService('ydcgsvrxn');
DeleteFile('C:\WINDOWS\system32\drivers\aipheqfxnodvc.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\00000E26.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ydcgsvrxn');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
11.09.2008, 15:30
TITOCH

Вложений: 3

Попытка №3

Попытка №3
Карантин отослал
11.09.2008, 15:37
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
11.09.2008, 16:06
TITOCH

Вложений: 3

Попытка №4

Попытка №4
Карантин залил
11.09.2008, 16:17
Rene-gad

В логах чисто.
Сервис Пак 3 поставьте, возможно потребуется активация системы.
11.09.2008, 16:23
TITOCH

Да в принципе сервиск пак можно сказать стоит (все обновления то устанавливаются и скачиваются) , а переактивации не потребуется потому как версия винды корпоративная.
Ладно поисчу СП3, по результатам работы отпишусь.

Спасибо за помощь!
11.09.2008, 16:30
Rene-gad

[QUOTE=TITOCH;282277]Да в принципе сервиск пак можно сказать стоит (все обновления то устанавливаются и скачиваются)
[/QUOTE]
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]Где Вы это видите ? :)
[QUOTE=TITOCH;282277]
Ладно поисчу СП3, по результатам работы отпишусь.
[/QUOTE]Качайте прямо по одной из ссылок в моей подписи.8)
12.09.2008, 12:00
TITOCH

Скачал, установил. Спасибо огромное за помощь! Больше признаков присутствия вируса не вижу. Все же подскажите шо у меня было и как от этого защититься в след раз???
12.09.2008, 12:03
Rene-gad

[QUOTE=TITOCH;282581]Все же подскажите шо у меня было [/QUOTE]
aipheqfxnodvc.sys - Rootkit.Win32.Agent.dkp
[QUOTE]как от этого защититься в след раз???[/QUOTE]
[url]http://security-advisory.virusinfo.info/[/url]
22.02.2009, 07:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\aipheqfxnodvc.sys - [B]Rootkit.Win32.Agent.dkp[/B] (DrWEB: Trojan.Spambot.3548)[/LIST][/LIST]