Показано с 1 по 12 из 12.

Паразитный трафик интернет, Подозрение на rootkit (заявка № 70148)

  1. #1
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30

    Thumbs up Паразитный трафик интернет, Подозрение на rootkit

    Добрый день!
    С компьютера идет паразитный трафик интернет (со слов провайдера с моего компьютера идет вируснаяя атака). Проверка Антивирусом Касперского и DrWeb Cure it ничего не дала (все чисто).
    После проверки AVZ, появилось подозрение на rootkit.

    Код:
    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=084700)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055B700
    KiST = 80504428 (284)
    Функция NtCreateKey (29) перехвачена (806225A2->B9EA80E0), перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (80622DE2->B9EC6CA2), перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (8062304C->B9EC7030), перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (80623938->B9EA80C0), перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (80623C5C->B9EC710 , перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (8062065C->B9EC6F8 , перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (80620C62->B9EC719A), перехватчик sphs.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Проверено функций: 284, перехвачено: 7, восстановлено: 7
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Анализ для процессора 2
    CmpCallCallBacks = 00092D84
    Disable callback OK
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89DE11F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 89DE11F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8961E1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 8961E1F8 -> перехватчик не определен
    Проверка завершена
    Последний раз редактировалось pig; 08.02.2010 в 16:45. Причина: умял простыню (достала)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Здравствуйте.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\eed10.sys','');
     QuarantineFile('C:\WINDOWS\system32\df7C.sys','');
     QuarantineFile('C:\WINDOWS\system32\d3b8.sys','');
     QuarantineFile('C:\WINDOWS\system32\bcdA.sys','');
     QuarantineFile('C:\WINDOWS\system32\1776.sys','');
     QuarantineFile('C:\WINDOWS\system32\1b0B.sys','');
     QuarantineFile('C:\WINDOWS\system32\3c42.sys','');
     QuarantineFile('C:\WINDOWS\system32\4603.sys','');
     QuarantineFile('C:\WINDOWS\system32\4a812.sys','');
     QuarantineFile('C:\WINDOWS\system32\6e8F.sys','');
     QuarantineFile('C:\WINDOWS\system32\7de13.sys','');
     QuarantineFile('C:\WINDOWS\system32\8f414.sys','');
     QuarantineFile('C:\WINDOWS\system32\14aE.sys','');
     QuarantineFile('C:\WINDOWS\system32\0ed4.sys','');
     QuarantineFile('C:\WINDOWS\system32\0af7.sys','');
     DeleteService('eed10');
     DeleteService('1b0B');
     DeleteService('3c42');
     DeleteService('4603');
     DeleteService('4a812');
     DeleteService('6e8F');
     DeleteService('7de13');
     DeleteService('8f414');
     DeleteService('1776');
     DeleteService('14aE');
     DeleteService('0ed4');
     DeleteService('0af7');
     DeleteService('df7C');
     DeleteService('d3b8');
     DeleteService('bcdA');
     DeleteFile('C:\WINDOWS\system32\0af7.sys');
     DeleteFile('C:\WINDOWS\system32\0ed4.sys');
     DeleteFile('C:\WINDOWS\system32\14aE.sys');
     DeleteFile('C:\WINDOWS\system32\8f414.sys');
     DeleteFile('C:\WINDOWS\system32\7de13.sys');
     DeleteFile('C:\WINDOWS\system32\6e8F.sys');
     DeleteFile('C:\WINDOWS\system32\4a812.sys');
     DeleteFile('C:\WINDOWS\system32\4603.sys');
     DeleteFile('C:\WINDOWS\system32\3c42.sys');
     DeleteFile('C:\WINDOWS\system32\1b0B.sys');
     DeleteFile('C:\WINDOWS\system32\1776.sys');
     DeleteFile('C:\WINDOWS\system32\bcdA.sys');
     DeleteFile('C:\WINDOWS\system32\d3b8.sys');
     DeleteFile('C:\WINDOWS\system32\df7C.sys');
     DeleteFile('C:\WINDOWS\system32\eed10.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Загрузите карантин (если он не пустой) согласно приложению 3 правил, по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30
    Скрипт выполнил.
    Папка Карантин пустая.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    По логу более подозрительного не вижу.
    Паразитный трафик продолжается?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30
    При подключении интернет, есть небольшой трафик на ip 172.16.2.4 на 139 и 445 порты.
    Смущает еще оставшаяся инфа при выполнении скрипта AVZ
    Код:
    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=084700)
     Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
       SDT = 8055B700
       KiST = 80504428 (284)
    Функция NtCreateKey (29) перехвачена (806225A2->B9EA80E0), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (80622DE2->B9EC6CA2), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (8062304C->B9EC7030), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (80623938->B9EA80C0), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (80623C5C->B9EC7108), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (8062065C->B9EC6F88), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (80620C62->B9EC719A), перехватчик spqz.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Проверено функций: 284, перехвачено: 7, восстановлено: 7
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
    CmpCallCallBacks = 00092D84
    Disable callback OK
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Поиск маскировки процессов и драйверов завершен
     Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E531F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 89E531F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8959F1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 8959F1F8 -> перехватчик не определен
     Проверка завершена
    P.S. что это за перехватчик? при выполнении данного скрипта и удалении файла, после перзагрузки при повторной проверке снова появляется перехватчик, но уже под другим именем, к примеру spcg.sys. И что за обработчики ISP присутствуют в системе?
    Последний раз редактировалось pig; 08.02.2010 в 16:46. Причина: умял простыню

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Это SPTD, используется Daemon Tools и Alcohol, безопасен.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30
    Т.е. на данный момент система чиста?

    а что насчет обработчиков ISP?
    а какая зараза была?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    По этим логам чисто.
    Сделайте на всякий случай еще лог gmer (не забыв поставить галочку на диск C и нажав Scan):
    http://virusinfo.info/showthread.php?t=40118
    и приложите его в теме.

    Перехваты в обработчиках IRP тоже от SPTD.

    Рекомендую:
    Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
    Обновите Internet Explorer до актуальной версии (даже если не используете).
    Обновите Adobe Reader до актуальной версий.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30
    Прошу прощения, если нарушаю правила!

    Прикладываю логи с последнего сканирования.
    Просьба проанализировать на наличие какой-либо заразы.

    Брандмауэр Windows остается неактивным (доступа к настройкам нет) - из-за вирусов?

  11. #10
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30
    из личного сообщения, я так понял ответа не ждать?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Зловредного по логам не нашел.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    03.02.2010
    Сообщений
    30
    Вес репутации
    30
    Ок! Спасибо за помощь!

    С Уважением,

  • Уважаемый(ая) subsidii2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Паразитный трафик
      От Customer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.06.2012, 14:34
    2. Паразитный трафик Интернет
      От subsidii2000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.04.2012, 13:59
    3. Паразитный трафик
      От u3AKPU в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.02.2010, 11:24
    4. Паразитный трафик
      От antivor в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 26.03.2009, 15:28
    5. Паразитный трафик
      От pechka в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01028 seconds with 16 queries