Утекает трафик, не могу найти дырку.

[Slider007]

Вобщем ситуация такая:
Вчера один компьютер в сети начал не хило пожирать трафик, прям в реальном времени мегабайты ползут.
Перекрыл на шлюзе (FreeBSD 6.2) полностью доступ к инету для этого компьютера.
Начал разбираться.
Картина получилась такая:
Компьютер включил, пока не трогаешь, все хоккей.
Открываешь любую страницу и инете, ждешь несколько минут, и вуаля! - начинает течь трафик.
Утилита tcpview показывает примерно следующее:

Код: Выделить всё

<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3179	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3180	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3181	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3182	ns2.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3183	ns2.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3184	ns2.masterhost.ru:http	SYN_SENT

Код: Выделить всё

<non-existent>:1708	TCP	192.168.60.30:3170	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3171	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3172	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3175	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3173	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3174	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3178	217.16.20.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3176	217.16.20.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3177	217.16.20.30:80	SYN_SENT

т.е. планомерно ломится ..

ipfw на шлюзе в это время в логи пишет вот что:

Код: Выделить всё

Sep 28 11:28:55 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1404 217.16.20.30:80 in via fxp1
Sep 28 11:29:01 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1402 217.16.20.30:80 in via fxp1
Sep 28 11:29:01 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1403 217.16.20.30:80 in via fxp1

Под <non-existent> если посмотреть Process Property скрывается svchost.exe
С помощью ProcessExplorer смотрел чего там svchost запускает, вроде ничего криминального.

Причем вчера этот же компьютер так же ломился на некий ip 81.177.23.68

А неделей раньше ещё один компьютер сожрал тоже прилично трафика с ip 213.180.199.24 (там стояла программа nod32view (обновлялка баз антивирусных), и я так понял по средством её каким-то образом всё и происходило, т.к. squid показал трафик с сайта http://nodview.narod.ru/). Но там всё прекратилось после выключения nod32view и перезагузки компьютера. Связаны или не всязаны эти 2 случая судить сложно, т.к. детально тогда не разобрался в чем было дело

Кто-нибудь с таким сталкивался ? Может вирус какой-то новый ? Проверял комп с помощью nod32, Dr.Web CureIT, clrav.com от Касперского. Ничего не находится.

Помогите плиз разобраться, а то уже мысли иссякли, куда ещё копать ...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[-cat-]

Судя по логам IPFW лезет что-то в обход SQUID-a, значит надо посмотреть
1. Какие расширения, дополнения установлены в браузере.
2. С помощью того-же Autoruns от Systernals (Microsoft уже) посмотреть что за процессы стартуют при загрузке.
3. Посмотреть с помощью AVZ4 все системные сервисы, открытые порты, да и вообще все что он покажет, по сингатуре он определит чужого.

А так "телепаты заняты работой" - Lissyara.

К тому, что если приводишь логи IPFW неплохо давать его листинг.

[Slider007]

Спасибо большое за наводку - AVZ4 выловил и обезвредил гада !
Резюма - nod32 и Dr.Web не рулят .

[FireWall]

еще глянь список потоков

[Tah]

Спасибо большое за наводку - AVZ4 выловил и обезвредил гада !
Резюма - nod32 и Dr.Web не рулят .

ну тут я бы немного поспорил :-)
НОД бывает двух типов - платный и бесплатный.. так вот тот который с ключем - ему приходят все обновления, а бесплатный - ему могут задержать обновление баз(это оффициально у них на сайте отписано) + нет обновления ядра..
вебер - куреит :-)
обычно при появлении в базах сигнатур нового вируса в одном из антивирусников, остальные производители эти сигнатуры максимум часов через з 10-ть получают :-)
енто по наблюдениям :-)

[wed]

а то что у меня на рабочем столе полгода валялся троян-вирус который нод так и не увидел? доктор веб сразу просек... все равно юзаю нод но тем не менее...
абыдно стало панымаешь...

[INFected]

а то что у меня на рабочем столе полгода валялся троян-вирус который нод так и не увидел? доктор веб сразу просек... все равно юзаю нод но тем не менее...
абыдно стало панымаешь...

На рабочем столе????
А вообще для борбы с вирусами нужен комплексный подход. )

[wed]

на рабочем столе. ну вирус-троян, запускаешь он все пароли нагло ворует и пересылает создателю=) комплексный подход это хорошо... вот только люди ленивы и я в том числе=) я и нод-то выбрал больше потому что его обновлять несложно.... не5 надо парится с кряками и прочим. да и в качестве монитора он немного ест

[gonzo111]

нод надо юзать в связке с adaware и adwatch
что с трафиком творится в винде помогает увидеть netlimiter