Непонятный трафик на внешние IP

Printable View

17.03.2009, 10:00
strogv

Вложений: 3

Непонятный трафик на внешние IP

Здравствуйте! Уже второй день бьемся со следующей ситуацией: Вчера после посещения какого-та сайта Касперский просигналил о том, что
обнаружено: троянская программа Trojan.HTML.Agent.ap
URL: [URL]disinfected[/URL]
Сразу запустили утилиту CURIT.Результаты прверки вирусов не показали.
После этого я запустила tcpdump на внешнем маршрутизаторе и увидела, что с этого компьютера постоянно идут пакеты на 80 порт следующих IP: 75.102.24.15, 195.161.112.6, 76.162.0.16. Я заблокировала выход и вход с этих адресов. Трафик начинается сразу после загрузки компьютера.
Ночью проверили компьютер Касперским 6.0 для рабочих станций.
Результат проверки
удалено: программа-реклама not-a-virus:AdWare.Win32.Dm.vq
Файл: C:\Program Files\Common Files\Adobe\Updater\AdobeUpdater.exe
удалено: троянская программа Trojan.Win32.Genome.jkh
Файл: D:\distr\TMPROM\Flash Player Pro 3.1\Flash.Player.Pro.v3.1.WinALL.Cracked-CzW.zip/Crack/Flash Player Pro.exe
удалено: троянская программа Trojan.Win32.Genome.jkh
Файл: D:\distr\TMPROM\Flash Player Pro 3.1\Crack\Flash Player Pro.exe
Попытка передать пакеты на эти IP продолжается.

Спасибо за будущую помощь, требуемые файлы прилагаются.
17.03.2009, 10:15
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('FILEMON');
QuarantineFile('C:\WINDOWS\system32\drivers\FILEM.SYS','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\drivers\FILEM.SYS');
DeleteService('FILEMON');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('FILEMON');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
17.03.2009, 11:16
strogv

Вложений: 3

Высылаем запрошенную информацию.
17.03.2009, 11:19
Rene-gad

В логах ничего подозрительного.
JAVA RE обновите, поставьте IE7 - даже если Вы им не пользуетесь.
17.03.2009, 11:49
strogv

Пакеты на упомянутые IP больше не идут.
Спасибо Вам большое.
18.03.2009, 11:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.pvm[/B]( DrWEB: Trojan.PWS.Panda.5 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]