Показано с 1 по 14 из 14.

Исходящий траффик на 25 порт 2.7 гига (заявка № 17584)

  1. #1
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37

    Thumbs up Исходящий траффик на 25 порт 2.7 гига

    Добрый день.
    Внешнее проявление проблемы: исходящий трафик с одного компа в локальной сети 2.7 гига за сутки.

    По сигналам от провайдера выяснили, что это спам-рассылка. На рутере (D-link DI-624) был заблокирован трафик на 25 порты по всем внешним IP - адресам. Таким образом трафик был остановлен. (кусок лога с рутера можно приложить при необходимости).
    По заявкам abuse, полученным от провайдера, удалось получить образец рассылаемого письма (можно приложить, если необходимо).
    На компьютере с которого выполнялась рассылка, установлено:
    NAV-2005, обновленный на 31.01.2008
    ZoneAlarmPro с антиспаем, обновленный на 03.02.2008
    После обнаружения проблемы, был установлен Tmeter 6

    Ни одна из перечисленных программ не отреагировала на угрозу. Более того - траффик не показывался ни ZoneAlarm-ом, ни Tmeter-oм. Он был виден только при показе в системном трее сетевого соединения. По логам рутера была сделана попытка заблокировать ZoneAlarm-ом на компе порты с 40000 по 60000 - на которых висел процесс - никакой реакции

    Процесс был активен даже в режиме загрузки SafeMode с включенной поддержкой сети.

    Я такого еще не видел...

    CureIt от DrWeb при первом сканировании обнаружил NtRootkit.774 в каком-то драйвере в винде. Поиск описания в Интернет NtRootKit c таким порядковым номером не дал результатов.

    По рекомендациям VirusInfo сделал следующее:
    Отключил восстановление системы.
    Выполнил все необходимые проверки.
    При загрузке в режиме SafeMode начало выдаваться предупреждение: Нажмите ESC для отказа от загрузки драйвера SPTD.sys - хрень какая-то - такого не было.
    Проверил комп детально CureIt-ом при отключенных сетевых дровах - нашел 1 подозрительный файл и 7 зараженный - в Карантине Нортона.
    Выполнил перезагрузку в режиме SafeMode с поддержкой сети - быстрая проверка CureIt ничего не дала
    Выполнил еще 2 быстрые проверки CureIt в режиме SafeMode с разрешением и запретом загрузки драйвера SPTD.sys - все по нулям.

    Полез в логи рутера -никакой активности на 25 порту .

    Видимо, отключение функции восстановления системы выбило гада.

    Все равно выполнил все пункты проверки и сбора информации через AVZ и HiJackThis
    Логи приложены. Посмотрите, пожалуйста, что у меня там

    Очень хотелось бы, чтобы Вы кинули пару идей насчет того, ЧТО ЭТО БЫЛО? Я стараюсь контролировать все, что происходит с компом. Но с таким я не сталивался.

    Заранее спасибо, Андрей
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Отключить антивирус, файрвол, интернет
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\ADS2002\lib\hfss\avs\hfss\runtime\bin\pc\libsunrs.dll','');
     QuarantineFile('D:\ADS2002\lib\hfss\avs\hfss\bin\pc\libsunrs.dll','');
     QuarantineFile('D:\ADS2002\bin\pthpib19.dll','');
     QuarantineFile('D:\ADS2002\bin\dlls\libsunrs.dll','');
     QuarantineFile('D:\Program Files\DivX\DivX Web Player\npdivx32.dll','');
     QuarantineFile('D:\Program Files\Ipis\ip_is.exe','');
     QuarantineFile('D:\Program Files\EnhanceKeyboard\kb_2k.exe','');
     QuarantineFile('ASIF~1.SCR','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ds1410d.sys','');
    BC_ImportAll;
    BC_Activate;
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17584

    с cureit нужно делать полную проверку всех дисков, иначе зачем вообще
    SPTD.sys- от эмулятора дисков- алкоголя или демон тулз так всегда с ним .

    P.S. тот подозрительный файл ,который cureit нашёл, тоже добавить в карантин и нам прислать по ссылке в шапке этой темы, как указано.
    Последний раз редактировалось drongo; 05.02.2008 в 18:40.

  4. #3
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17584

    с cureit нужно делать полную проверку всех дисков, иначе зачем вообще
    SPTD.sys- от эмулятора дисков- алкоголя или демон тулз так всегда с ним .
    Карантин прислать весь?

    Прога Ip_Is - програма, присланная провайдером для определения принадлежности ресурса (Украинский-Зарубежный - оплата траффика разная)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Да.
    Кстати , программу Ip_Is желательно Олегу прислать, в about avz написанo kak.

  6. #5
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37
    Вроде как отправил карантин

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Вредоносный код в файлах не обнаружен.

  8. #7
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37
    Т.о. все файлы могут быть восстановлены?
    Не прибегай ни к чьей помощи. Приходи не спеша, с чувством собственного достоинства

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    а их никто и не трогал .... просто скопировали ....

  10. #9
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37
    Я понял.
    А на "кого" похожа симптоматика описанного в первом письме процесса?
    Очень хочется знать, кто же так меня долбанул.
    Не прибегай ни к чьей помощи. Приходи не спеша, с чувством собственного достоинства

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    На всё что угодно.

  12. #11
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37
    Ну, вот :-(
    Что, многие вирусы-троянцы генерят траффик, который не ловится ничем?
    И загружаются в режиме Safe Mode?
    Не прибегай ни к чьей помощи. Приходи не спеша, с чувством собственного достоинства

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от dr_avk Посмотреть сообщение
    Ну, вот :-(
    Что, многие вирусы-троянцы генерят траффик, который не ловится ничем?
    И загружаются в режиме Safe Mode?
    В "Помогите" каждый 3-й если не 2-й.

  14. #13
    Junior Member Репутация
    Регистрация
    13.11.2007
    Сообщений
    9
    Вес репутации
    37
    Вот сволочи...
    Спасибо за проверку.
    Не прибегай ни к чьей помощи. Приходи не спеша, с чувством собственного достоинства

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) dr_avk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 19
      Последнее сообщение: 18.08.2009, 21:19
    2. Ответов: 6
      Последнее сообщение: 01.04.2009, 08:29
    3. спам и непонятный траффик на 80 порт
      От Glip в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.02.2009, 18:03
    4. Исходящий траффик
      От Andomiel в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.07.2008, 09:25
    5. Ответов: 30
      Последнее сообщение: 05.03.2008, 17:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00429 seconds with 17 queries