На данный момент сервер [U]не посылает[/U] срытые icmp-пакеты на [B]удалённый узел[/B], НО [B]сразу после перезагрузки [/B](до входа в систему, т.е. до ввода логина/пароля) на маршрутизаторе наблюдается попытки [B]отправить ICMP echo request[/B] на весь диапазон IP-адресов соседней локальной сети по последнему октету x.y.z.1 - x.y.z.254.
Сеть x.y.z.0/24 маршрутизируется и имеет доступ к заражённому серверу по нескольким портам. Обе сети разделены маршрутизаторами с закрытыми файеролами (с жёсткой фильтрацией, по принципу: что не разрешено, запрещено).
После попытки отправить запросы, сервер замолкает. Программа uVS v385 выдаёт чистенький результат.
По какому пойти пойти дальше.

Уважаемые коллеги! Кто занимается сетевой безопасностью, тому будет интересная статья:
[URL=http://www.securitylab.ru/analytics/423450.php]http://www.securitylab.ru/analytics/423450.php[/URL]
это как раз то, с чем я имею дело.

Снова возникла активность icmp трафика на рабочей станции. Думал проблема миновала.
В журнале ESET:
12.03.2015 14:31:31    Обнаружена уязвимость скрытого канала в ICMP-пакете    xxx.yyy.zzz.aaa    zzz.xxx.ccc.vvv    ICMP            

Помогите составить скрипт удаления.
Спасибо.

P.S: Может есть материал, который мне поможет самим писать подобные скрипты, чтобы я не занимал ваше время.

[QUOTE]santy написал:
да, этот файл был виден в образе, при проверке на VT[/QUOTE]
Что означает VT?


[QUOTE]santy написал:
сама служба похоже легальная
SNMPTRAP Service
[/QUOTE]
Вот тут я нахожу прямое совпадение. Поясню:
На одной инфицированной машине, что вы мне помогли вылечить, я сканировал утилитой от Kaspersky - tdsskiller.exe
Вот скрин:
[IMG WIDTH=798 HEIGHT=601]http://savepic.su/5330865.png[/IMG]
после него icmp-паеты тоже пропадали.

На [B]сервере[/B] (который мы сейчас лечим) есть:
C:\Windows\System32\snmpapi.dll
C:\Windows\System32\snmptrap.exe
по результату проверки на  [URL=http://www.virustotal.com]www.virustotal.com[/URL] они не попадают под статус заражённых.
Но на сервере НЕТ:
там нет:
snmplib.dll


[QUOTE]santy написал:
выполняем скрипт в uVS:
[/QUOTE]
скрипт, к сожалению, смогу запустить в конце дня. В процессе работы мне перезагрузить не получится.

Клубок начинает разматываться!
После скрипта из списка процессов пропали инфицированные объекты, т.е. те которые запускались из C:\Windows\Temp\
Перезагрузка; icmp-трафика не исчез.
Прогресс - процессы svchost больше не грузятся.
Я нашёл источник icmp-запросов. Это процесс csrss.exe
[U]месторасположение:[/U] C:\Windows\System32\GroupPolicy\csrss.exe
убиваю процесс, убиваю файл - [B][U]icmp прекращаются[/U][/B]!
После перезагрузки csrss.exe в процессах и в диспетчере задач.

[QUOTE]santy написал:
значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?[/QUOTE]
1. Скрытый, даже не имея атрибутов Explorer.exe не отображает.
2. Конечно пишем ))
3. Сервер я смогу перегрузить только после 19-00 (по поясу +2)
4. Отправил вам инфицированные объекты на:
[URL=mailto:[email protected]][email protected][/URL]
[URL=mailto:[email protected]][email protected][/URL]

[QUOTE]santy написал:
C:\WINDOWS\SYSTEM32\ISCSITRG.EXE
[/QUOTE]
[IMG WIDTH=947 HEIGHT=210]http://savepic.su/5372942.png[/IMG]
[IMG WIDTH=795 HEIGHT=768]http://savepic.su/5367808.jpg[/IMG]
Особенность: из под оконного режима файл вообще не видно. Я смог его найти в файловом менеджере - Far'e

Прилагаю свой лог:


P.S.:Попрошу Вас не отталкивать меня из-за религиозных соображений. Вынужден был поставить альтернативный (не ESET) антивирусный пакет из-за безысходности.... Но и он ничего не обнаружил на текущий момент.

[QUOTE]santy написал:
это оставьте в мбам
[QUOTE]Processes: 1
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 460, , [502983c0cebc1125953f1c6435cd05fb]
Files: 3
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [502983c0cebc1125953f1c6435cd05fb],
RiskWare.Tool.CK, C:\Windows\SysWOW64\KMSService.exe, , [b8c1cf74cbbfd95df3e16818ed154bb5], [/QUOTE]
остальное все удалите.

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [B]Папки[/B] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [B]Очистить[/B]
[/QUOTE]
Всё сделал по вашему сценарию. На заражённой станции скрытые icmp пропали. Человеческое спасибо.

Изначально я не описал проблему глобально. Опишу в этом топике, т.к. это звенья одной цепи:
Заражена локальная сеть с выделенным сервером. Заражены станции; заражён сервер.
Идентификация скрытых icmp произошла случайно. Оказалось зараза на каждой станции и сервере. Всё, что вы описали здесь, я всё [B]проделал на сервере[/B]. Но не пришёл к логическому результату.
Вкратце описываю условия: Windows 2008 R2, x64; выполняет роли: DC, DHCP, DNS, Remote Desktops, файловый
Обратившись к дополнительным ресурсам, я столкнулся с этим инструментом:
[URL=http://www.filecheck.ru/freeware/svchostviewer.html]http://www.filecheck.ru/freeware/svchostviewer.html[/URL]
Результат:
[IMG WIDTH=768 HEIGHT=659]http://savepic.su/5324940.jpg[/IMG]

Далее отправил на [URL=https://www.virustotal.com/ru/]https://www.virustotal.com/ru/[/URL] файл svchost.exe из мест, которые вызывают подозрение, т.е. C:\Windows\Temp\...
Результат:
[IMG WIDTH=812 HEIGHT=768]http://savepic.su/5364967.png[/IMG]

из C:\Windows\System32\svchost.exe [B]вредоносных тел не обнаружено[/B]!

Из выше сказанного:
1. Каким образом подгружаются процессы svchost.exe из [B]иного[/B] места (не из C:\Windows\System32\svchost.exe)
2. Какие инструменты мне использовать для дальнейшей борьбы.

[QUOTE]santy написал:
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL] [/QUOTE]

Сделал всё как сказали.
Старые проблемы остались. Из замеченного: появились пинги к соседним компьютерам в локальной сети.
Какие действия действия предпринимать дальше?