Форум esetnod32.ru [тема: Как можно вычислить процесс, который шлёт icmp-пакеты] http://forum.esetnod32.ru Новое в теме Как можно вычислить процесс, который шлёт icmp-пакеты форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 22:33:30 +0300 Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
На данный момент сервер не посылает срытые icmp-пакеты на удалённый узел, НО сразу после перезагрузки (до входа в систему, т.е. до ввода логина/пароля) на маршрутизаторе наблюдается попытки отправить ICMP echo request на весь диапазон IP-адресов соседней локальной сети по последнему октету x.y.z.1 - x.y.z.254.
Сеть x.y.z.0/24 маршрутизируется и имеет доступ к заражённому серверу по нескольким портам. Обе сети разделены маршрутизаторами с закрытыми файеролами (с жёсткой фильтрацией, по принципу: что не разрешено, запрещено).
После попытки отправить запросы, сервер замолкает. Программа uVS v385 выдаёт чистенький результат.
По какому пойти пойти дальше.

Уважаемые коллеги! Кто занимается сетевой безопасностью, тому будет интересная статья:
http://www.securitylab.ru/analytics/423450.php
это как раз то, с чем я имею дело.
12.03.2015 23:32:41, rasskaz.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83460/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83460/ Thu, 12 Mar 2015 23:32:41 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
ВТ или VT - это мы так сокращенно называем Virustotal.com
---------
не факт конечно, что это вредоносный файл. ведь детектируется как неподписанный, без цифровой подписи.

здесь немного другой файл в образе, и он теперь детектируется, после того как Есет добавил сигнатуру на svchost.exe левый.
а этот файл C:\WINDOWS\SYSTEM32\SNMPAPI.DLL чист. и подписан Микрософт.



====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE
Имя файла                   SNMPTRPS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
www.virustotal.com          2015-03-11
Kaspersky                   UDS:DangerousObject.Multi.Generic
ESET-NOD32                  a variant of MSIL/Gruf.A
                           
Удовлетворяет критериям    
TEMP.KRIT                   (SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     5440CEFB24000
Linker                      6.0
Размер                      118784 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   17.10.2014 в 08:10:35
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            ta.exe
Версия файла                6.1.7600.16385
Версия продукта             6.1.7600.16385
Описание                    Сliеnt Sеrvеr Runtimе Prосеss
Производитель               Miсrоsоft Соrpоrаtiоn
Комментарий                 Сliеnt Sеrvеr Runtimе Prосеss
                           
Доп. информация             на момент обновления списка
SHA1                        1D31123D3268D2A0D44F0B30BB5936518198FDC2
MD5                         54108C290A9BA2D3B00545FAEA76A9FE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
ImagePath                   C:\Windows\System32\snmptrps.exe -k
SNMPTRAP                    тип запуска: Авто (2)
=============
                           
12.03.2015 12:14:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83439/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83439/ Thu, 12 Mar 2015 12:14:44 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
да, этот файл был виден в образе, при проверке на VT
=============
Что означает VT?



====quote====
santy написал:
сама служба похоже легальная
SNMPTRAP Service

=============
Вот тут я нахожу прямое совпадение. Поясню:
На одной инфицированной машине, что вы мне помогли вылечить, я сканировал утилитой от Kaspersky - tdsskiller.exe
Вот скрин:
Пользователь добавил изображение
после него icmp-паеты тоже пропадали.

На сервере (который мы сейчас лечим) есть:
C:\Windows\System32\snmpapi.dll
C:\Windows\System32\snmptrap.exe
по результату проверки на  www.virustotal.com они не попадают под статус заражённых.
Но на сервере НЕТ:
там нет:
snmplib.dll



====quote====
santy написал:
выполняем скрипт в uVS:

=============
скрипт, к сожалению, смогу запустить в конце дня. В процессе работы мне перезагрузить не получится.
12.03.2015 11:55:28, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83437/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83437/ Thu, 12 Mar 2015 11:55:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
C:\Windows\System32\GroupPolicy\csrss.exe
=============
да, этот файл был виден в образе, при проверке на VT оказывается чист, хотя по идее, нечего ему там делать.
давайте новый образ автозапуска посмотрим.
там на этот файл есть еще несколько других с подобным хэшем.

C:\WINDOWS\SYSTEM32\GROUPPOLICY\CSRSS.EXE
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)

возможно, вот эта служба восстанавливает данный csrss.exe


====quote====
C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE
HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
=============
угу, тоже попал под детект сигнатуры, добавленной Zloydi
a variant of MSIL/Gruf.A
https://www.virustotal.com/ru/file/8a3a80dc3c88f303cf0607688648bc82a32680b93c0768dc­add17f3ecea4dd24/...

сама служба похоже легальная
SNMPTRAP Service
http://support.hp.com/us-en/document/c01862894?openCLC=true?docNotFound=true

есть ли  подмена здесь файла или нет, вопрос конечно.


--------------------
значит, эту пару файлов тоже надо сносить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

====code==== 
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %Sys32%\GROUPPOLICY\CSRSS.EXE
delall %Sys32%\GROUPPOLICY\CSRSS.EXE
zoo %Sys32%\SNMPTRPS.EXE
delall %Sys32%\SNMPTRPS.EXE
QUIT
=============
перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска для контроля.
12.03.2015 05:52:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83422/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83422/ Thu, 12 Mar 2015 05:52:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Нужен новый образ автозапуска в uVS
11.03.2015 20:46:25, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83407/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83407/ Wed, 11 Mar 2015 20:46:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Клубок начинает разматываться!
После скрипта из списка процессов пропали инфицированные объекты, т.е. те которые запускались из C:\Windows\Temp\
Перезагрузка; icmp-трафика не исчез.
Прогресс - процессы svchost больше не грузятся.
Я нашёл источник icmp-запросов. Это процесс csrss.exe
месторасположение: C:\Windows\System32\GroupPolicy\csrss.exe
убиваю процесс, убиваю файл - icmp прекращаются!
После перезагрузки csrss.exe в процессах и в диспетчере задач.
11.03.2015 20:30:29, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83406/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83406/ Wed, 11 Mar 2015 20:30:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
The detection for this threat will be included in our next signature update.


====quote====
conhost.exe - MSIL/Gruf.A trojan
csrss.exe - MSIL/Gruf.A trojan
iscsitrg.exe - MSIL/Gruf.A trojan
svchost.exe - MSIL/Gruf.A trojan
=============

11.03.2015 15:05:55, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83399/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83399/ Wed, 11 Mar 2015 15:05:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
скрипт делает копии удаляемых файлов, затем будет удалять указанный файл вместе со ссылками на него в реестре.
после завершения выполнения скрипта будет запущен архиватор, который добавит копии файлов в архив,
и на этом выполнение скрипта завершится.
QUIT здесь выход из программы без перезагрузки системы.
------
как поведет себя контролер домена в процессе удаления конечно вопрос,
может лучше все таки выполнить скрипт, перед тем как вам можно будет его перезагрузить?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
delall %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
delall %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
delall %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
zoo %Sys32%\ISCSITRG.EXE
delall %Sys32%\ISCSITRG.EXE
zoo %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
czoo
QUIT
============= после выполнения скрипта, сделайте новый образ автозапуска,
посмотрим, что там останется.
и что произойдет с проблемой.
11.03.2015 13:51:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83398/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83398/ Wed, 11 Mar 2015 13:51:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?
=============
1. Скрытый, даже не имея атрибутов Explorer.exe не отображает.
2. Конечно пишем ))
3. Сервер я смогу перегрузить только после 19-00 (по поясу +2)
4. Отправил вам инфицированные объекты на:
sendvirus2011@gmail.com
support@esetnod32.ru
11.03.2015 13:38:51, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83397/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83397/ Wed, 11 Mar 2015 13:38:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?
------
или сами все зачистите?
11.03.2015 13:35:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83396/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83396/ Wed, 11 Mar 2015 13:35:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
C:\WINDOWS\SYSTEM32\ISCSITRG.EXE

=============
Пользователь добавил изображение
Пользователь добавил изображение
Особенность: из под оконного режима файл вообще не видно. Я смог его найти в файловом менеджере - Far'e
11.03.2015 13:27:52, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83394/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83394/ Wed, 11 Mar 2015 13:27:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
просьба к вам:
вот эти все указанные файлы добавить в архив с паролем infected и выслать в почту

====quote====
sendvirus2011@gmail.com, support@esetnod32.ru
=============

11.03.2015 13:08:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83393/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83393/ Wed, 11 Mar 2015 13:08:44 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
проверьте, что это такое, с тем же SHA что и указанные файлы в темпе



====quote====
Полное имя                  C:\WINDOWS\SYSTEM32\ISCSITRG.EXE
Имя файла                   ISCSITRG.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
www.virustotal.com          2015-03-11
BitDefender                 Trojan.Generic.11932309
Avast                       Win32:Malware-gen
                           
Удовлетворяет критериям    
TEMP.CRITERY                (SHA1 = 7F3F5363C368B72A7BD9E6BF289433D68BFE2D25)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     538ED42B14000
Linker                      11.0
Размер                      59392 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   04.06.2014 в 08:09:15
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            c.exe
Версия файла                6.57.2758.0
Описание                    Microsoft
Производитель               Microsoft
Комментарий                 Microsoft
                           
Доп. информация             на момент обновления списка
SHA1                        7F3F5363C368B72A7BD9E6BF289433D68BFE2D25
MD5                         45E65FD654EF7CAB54DB1BF3E04481BE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\iscsitrg\ImagePath
ImagePath                   C:\Windows\System32\iscsitrg.exe svc
iscsitrg                    тип запуска: Авто (2)

=============
                           
11.03.2015 12:51:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83389/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83389/ Wed, 11 Mar 2015 12:51:43 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
мы не совсем техподдержка, оказываем помощь по мере сил всем пользователям, за исключением тем, кто работает с ломанными антивирусами.


====quote====
вот эти файлы явно вирусняк
C:\WINDOWS\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
Trojan.Generic.11932309
Win32:Malware-gen
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE

=============

и другие те что в темпе.
---------
и судя по образу - они все одинаковы, один и тоже хэш SHA1
------------


могу написать скрипт очистки, который зачистит эти файлы без перезагрузки системы,
и затем посмотрим, появятся они опять или нет.
11.03.2015 12:37:04, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83388/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83388/ Wed, 11 Mar 2015 12:37:04 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Прилагаю свой лог:


P.S.:Попрошу Вас не отталкивать меня из-за религиозных соображений. Вынужден был поставить альтернативный (не ESET) антивирусный пакет из-за безысходности.... Но и он ничего не обнаружил на текущий момент.
MAIN_2015-03-11_10-58-02.rar
11.03.2015 12:23:58, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83385/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83385/ Wed, 11 Mar 2015 12:23:58 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте образ автозапуска с помощью uVS на вашем сервере.
со скриптом торопиться не будем, поскольку это работающий контроллер домена,
просто для начала проанализируем образ. что он покажет.
11.03.2015 11:15:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83376/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83376/ Wed, 11 Mar 2015 11:15:13 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
это оставьте в мбам

====quote====
Processes: 1
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 460, , [502983c0cebc1125953f1c6435cd05fb]
Files: 3
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [502983c0cebc1125953f1c6435cd05fb],
RiskWare.Tool.CK, C:\Windows\SysWOW64\KMSService.exe, , [b8c1cf74cbbfd95df3e16818ed154bb5],
=============
остальное все удалите.

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции Папки снимите галки с записей mail.ru, yandex

остальное удалите по кнопке Очистить

=============
Всё сделал по вашему сценарию. На заражённой станции скрытые icmp пропали. Человеческое спасибо.

Изначально я не описал проблему глобально. Опишу в этом топике, т.к. это звенья одной цепи:
Заражена локальная сеть с выделенным сервером. Заражены станции; заражён сервер.
Идентификация скрытых icmp произошла случайно. Оказалось зараза на каждой станции и сервере. Всё, что вы описали здесь, я всё проделал на сервере. Но не пришёл к логическому результату.
Вкратце описываю условия: Windows 2008 R2, x64; выполняет роли: DC, DHCP, DNS, Remote Desktops, файловый
Обратившись к дополнительным ресурсам, я столкнулся с этим инструментом:
http://www.filecheck.ru/freeware/svchostviewer.html
Результат:
Пользователь добавил изображение

Далее отправил на https://www.virustotal.com/ru/ файл svchost.exe из мест, которые вызывают подозрение, т.е. C:\Windows\Temp\...
Результат:
Пользователь добавил изображение

из C:\Windows\System32\svchost.exe вредоносных тел не обнаружено!

Из выше сказанного:
1. Каким образом подгружаются процессы svchost.exe из иного места (не из C:\Windows\System32\svchost.exe)
2. Какие инструменты мне использовать для дальнейшей борьбы.
11.03.2015 11:09:49, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83374/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83374/ Wed, 11 Mar 2015 11:09:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
это оставьте в мбам

====quote====
Processes: 1
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 460, , [502983c0cebc1125953f1c6435cd05fb]
Files: 3
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [502983c0cebc1125953f1c6435cd05fb],
RiskWare.Tool.CK, C:\Windows\SysWOW64\KMSService.exe, , [b8c1cf74cbbfd95df3e16818ed154bb5],
=============
остальное все удалите.
далее,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/
10.03.2015 11:19:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83321/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83321/ Tue, 10 Mar 2015 11:19:14 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
=============

log_malwarebytes.txt
09.03.2015 22:39:50, rasskaz.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83311/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83311/ Mon, 09 Mar 2015 22:39:50 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
09.03.2015 20:51:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83310/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83310/ Mon, 09 Mar 2015 20:51:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал всё как сказали.
Старые проблемы остались. Из замеченного: появились пинги к соседним компьютерам в локальной сети.
Какие действия действия предпринимать дальше?
09.03.2015 19:40:46, rasskaz.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83309/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83309/ Mon, 09 Mar 2015 19:40:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

====code==== 
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES (X86)\ZD SOFT\SCREEN RECORDER\SCNREC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DAMEWARE DEVELOPMENT\DAMEWARE NT UTILITIES\DWRCCMD.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\AIMERSOFT\VIDEO CONVERTER ULTIMATE\VIDEOCONVERTERULTIMATE.EXE
hide %SystemRoot%\INSTALLER\{C3CC4DF5-39A5-4027-B136-2B3E1F5AB6E3}\PYTHON_ICON.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 29 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416029FF} /quiet

deldir %SystemDrive%\PROGRAM FILES (X86)\SHOPPERPRO

deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
08.03.2015 18:21:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83290/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83290/ Sun, 08 Mar 2015 18:21:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Прошу прощения, что не оформил как следует.
Сообщение в журнале:
"Обнаружена уязвимость скрытого канала в icmp-пакете"
NEXUS_2015-03-07_23-42-37.7z
08.03.2015 01:00:27, rasskaz.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83278/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83278/ Sun, 08 Mar 2015 01:00:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
06.03.2015 08:00:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83253/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83253/ Fri, 06 Mar 2015 08:00:14 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Господа, помогите нейтрализовать приложение, которое в фоне отправляет icmp пакеты.
05.03.2015 13:13:00, Denis Rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11762/message83225/ http://forum.esetnod32.ru/messages/forum6/topic11762/message83225/ Thu, 05 Mar 2015 13:13:00 +0300 Обнаружение вредоносного кода и ложные срабатывания