Подозрительный исходящий трафик

Printable View

23.09.2008, 02:19
ЛовецЧебуреков

Подозрительный исходящий трафик

У меня интернет ADSL. Заметил что периодически (раз в 4 сек где-то) в трее индикатор сети мигает. Левый "телевизор". Посмотрел идет отправка некрупных пакетов 130 байт где-то. На сколько я понимаю при выгруженных аськах, скайпах, и других программ которые могут лазить в интернет периодически, ничего не должно ни приниматься ни отправляться.
Антивирусы CureIt, Nod32, AVZ все свежак (в день проверки) ничего не находят.
Это нормально или стоит какой-нить файрвол поставить, чтобы вычислить что это за зараза?
AVZ пишет что находит неизвестные перехватчики:
[SIZE=2]1.5 Проверка обработчиков IRP
[/SIZE][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AE891F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AE891F8 -> перехватчик не определен
[COLOR=black]....и так далее[/COLOR][COLOR=black].[/COLOR]
[COLOR=black]Вроде с остановленным Nod32 всеравно натыкается на эти перехватчики. Остальное подозрений не вызывает.[/COLOR]
[COLOR=#000000]Не так давно ПК был заражен каким-то adware называвшей себя антивирусом который заменил рабочий стол на свое сообщение "тревоги". Его и еще 19 троянов выковырял нодом и кьюритом.[/COLOR]
[COLOR=#000000]Вобщим подытоживая вопрос такой: Нормален ли такой исходящий трафик? И если нет, то что посоветуете сделать чтобы его убрать.[/COLOR]
[COLOR=#000000]Заранее благодарю за ответ.[/COLOR]
[/COLOR][/SIZE][/COLOR][/SIZE]

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Еще не знаю имеет это отношение к вопросу: периодически (раз в 2 часа) вылетает Explorer.exe (тот от которого пропадает task bar правда потом снова появляется) и снова загружается. может его тот же вирус погрыз?
23.09.2008, 02:58
Bratez

Никак не могу найти свой хрустальный шарик... ;)
Наверно, без логов не обойтись.

Внимательно прочитайте и выполните:
[url]http://virusinfo.info/showthread.php?t=1235[/url]
26.09.2008, 09:46
ЛовецЧебуреков

Вложений: 3

Собрал логи по инструкции. Вот они. Обойдемся без шара ;)
26.09.2008, 12:39
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sysrest.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aspadtas.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bgm06.sys','');
DeleteService('sysrest.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bgm06.sys');
DeleteFile('C:\WINDOWS\system32\sysrest.sys');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sysrest.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
26.09.2008, 22:00
ЛовецЧебуреков

Вложений: 3

Карантин прошел?
27.09.2008, 11:14
Rene-gad

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\aspadtas.sys','');
DeleteService('aspadtas');
DeleteFile('C:\WINDOWS\System32\Drivers\aspadtas.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('aspadtas');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

[QUOTE=ЛовецЧебуреков;289574]Карантин прошел?[/QUOTE]Да, только то, что нам было интересно, туда не попало. Вы в этом не виноваты :)
28.09.2008, 21:47
ЛовецЧебуреков

Вложений: 3

Выполнил скрипт, собрал логи, карантин отослал.
29.09.2008, 10:02
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]Больше ничего плохого не вижу.
29.09.2008, 23:09
ЛовецЧебуреков

Пофиксил. Исходящий трафик не исчез :(
30.09.2008, 00:06
Rene-gad

1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. Перегрузить систему
Траффик идет?
01.10.2008, 01:16
ЛовецЧебуреков

Все отключил, трафик всеравно идет.
Повторно после перезагрузки запускал AVZ
опять пишет:
[SIZE=2]1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
[/SIZE][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Функция NtCreateKey (29) перехвачена (80623786->B9EA80E0), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC6CA2), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC7030), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80624B58->B9EA80C0), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC7108), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC6F88), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC719A), перехватчик spvq.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
[/COLOR][/SIZE][/COLOR][/SIZE][SIZE=2]Проверено функций: 284, перехвачено: 7, восстановлено: 7
[/SIZE]
01.10.2008, 10:40
Rene-gad

Все красные - драйвер демона.
Запуститесь в безопасном. Траффик идет?
01.10.2008, 22:24
ЛовецЧебуреков

В безопасном режиме немного пошел 965 байт исходящего и 1300 входящего и больше не шел.
Значит вируса нет?:)
01.10.2008, 22:27
Гриша

Нет :)
02.10.2008, 02:12
ЛовецЧебуреков

А то что имена файла "драйвера демона" каждый раз разные - тоже нормально?:O
02.10.2008, 12:23
Rene-gad

[QUOTE=ЛовецЧебуреков;291397]А то что имена файла "драйвера демона" каждый раз разные - тоже нормально?:O[/QUOTE]Да.
03.10.2008, 08:41
ЛовецЧебуреков

Спасибо за помощь, и Ваше время :)
22.02.2009, 08:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]