Исходящий трафик

Printable View

31.01.2007, 13:37
Сергей Уточкин

Вложений: 3

Исходящий трафик

Доброго всем времени суток!

Идет большой исходящий трафик - порядка 50 МБайт/час. Явно ненормальная ситуация, прогон drWeb, Ad-Aware и AVZ излечил кучу троянов, но проблема осталась.

Все рекомендации выполнил, логи прилагаю.

С уважением,
Сергей Уточкин
31.01.2007, 13:49
PavelA

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wtjbuvtx.exe','');
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\ASWLSVC.exe','');
DeleteFile('wtjbuvtx.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Прислать карантин согласно приложения 2 правил , с пятого пункта.
2.Профиксить в HijackThis( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
[/CODE]
31.01.2007, 14:25
Сергей Уточкин

Все выполнил, файл закачал. Большое спасибо за оперативную помощь! Вечером попробую!
31.01.2007, 14:48
PavelA

Нужны будут новые логи. Зверь то ли не попал, то ли убит.

З.Ы. Не понял, что значит вечером попробую.
31.01.2007, 15:51
Сергей Уточкин

Вложений: 3

Компьютер - домашний, подключается к Инету через VPN по локалке. Щас сижу на работе, больной комп рядом стоит. :) Новые логи прилагаю.
P.S. dll ку не нашел.... испарилась.
31.01.2007, 16:01
Shu_b

[CODE]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/CODE]тоже пофиксить, reset5 c sp2 не работает.
01.02.2007, 10:28
Сергей Уточкин

Вложений: 3

Все, что было сказано, пофиксил, но проблема осталась. Мало того, пошел большой входящий траффик. Пока он весьма дорог, так что подробно исследовать процесс не удалось. Конфигурация сети следующая: компьютер+WLAN, WLAN- роутер, подключенный к локальной сети. Соединение с ИНтернет идет через VPN. Беспроводное соединение защищено - фильтрация MAC адресов и шифрование траффика. При подключении к роутеру начинается активность - список подозрительных адресов из Outpost прилагаю.

[FONT=Times New Roman][SIZE=3]31.01.2007 20:58:50 cds80.frf.llnw.net Новая запись 87.248.217.120[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]31.01.2007 20:55:46 rs.update.microsoft.com Новая запись 213.155.151.136, 213.155.151.177[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]31.01.2007 20:54:19 cds70.frf.llnw.net Новая запись 87.248.217.110[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]31.01.2007 20:54:18 cds69.frf.llnw.net Новая запись 87.248.217.109[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]31.01.2007 20:54:10 cds79.frf.llnw.net Новая запись 87.248.217.119[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]31.01.2007 20:53:18 cds78.frf.llnw.net Новая запись 87.248.217.118[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:52:12 213-155-151-176.customer.teliacarrier.com Новая запись 213.155.151.176[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:51:27 cds77.frf.llnw.net Новая запись 87.248.217.117[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:50:56 cds76.frf.llnw.net Новая запись 87.248.217.116[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:50:43 cds74.frf.llnw.net Новая запись 87.248.217.114[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:50:23 cds73.frf.llnw.net Новая запись 87.248.217.113[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:50:03 cds72.frf.llnw.net Новая запись 87.248.217.112[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:45:27 cds68.frf.llnw.net Новая запись 87.248.217.108[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:45:08 cds67.frf.llnw.net Новая запись 87.248.217.107[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:44:48 cds66.frf.llnw.net Новая запись 87.248.217.106[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:44:28 cds65.frf.llnw.net Новая запись 87.248.217.105[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:38:04 unknown.Level3.net Новая запись 63.210.62.190[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:37:10 cds64.frf.llnw.net Новая запись 87.248.217.104[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:33:24 cds64.frf.llnw.net Новая запись 87.248.217.104[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:33:08 213-155-151-177.customer.teliacarrier.com Новая запись 213.155.151.177[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:32:49 213-155-151-136.customer.teliacarrier.com Новая запись 213.155.151.136[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:31:57 cds63.frf.llnw.net Новая запись 87.248.217.103[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]31.01.2007 20:31:37 cds62.frf.llnw.net Новая запись 87.248.217.102[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]31.01.2007 20:31:15 cds61.frf.llnw.net Новая запись 87.248.217.101[/SIZE][/FONT]

С уважением,
Сергей Уточкин
01.02.2007, 11:15
Geser

На какой порт входящий трафик? Может это не трафик, а просто соединения. Такое часто бывает когда динамический IP, и получаешь IP человека у которого стоял PTP клиент.
01.02.2007, 11:30
Geser

Потом llnw.net это [url]http://www.limelightnetworks.com/[/url]
Может вы мызыку какую слушаете или в игрушку играете. Или медиаплеер с этим сайтом работает.
02.02.2007, 22:27
Сергей Уточкин

Большое спасибо за помощь! Троянца скрипт убил, а после настройки служб Windows XP все проблемы с трафиком были решены. Всем успехов в борьбе с заразой.
[URL="http://forum.kaspersky.com/index.php?showtopic=20714"] [/URL]
22.02.2009, 01:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]