Входящий и исходящий HTTP от имени svchost.exe

**H_S_A** · 11.10.2007, 10:16

Непрерывно идёт входящий и исходящий трафик HTTP (иногда SMTP)
от имени svchost.exe

AVP, DrWeb и AVZ ничего не обнаруживают.
Запуск CureIt в безопасном режиме также ничего не дал.
Все базы антивирусов новые (вчерашние).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 11.10.2007, 11:28

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\??\D:\Program Files\DrWeb\oiKr447h.sys','');
 QuarantineFile('systemroot\system32\tscupgrd.exe','');
 QuarantineFile('D:\WINDOWS\RTHDCPL.EXE','');
 QuarantineFile('iisui50.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Загрузить получившийся карантин.

Установить AVZPM. Перезагрузиться. Сделать повторно логи.

**H_S_A** · 11.10.2007, 12:38

Спасибо за ответ.
Всё сделал.

P.S.
Файл virusinfo_cure.zip на форум загрузить не удалось
(размер 4MB у него получился).
Ссылка на файл:

**PavelA** · 11.10.2007, 13:21

http://virusinfo.info/upload_virus.php?tid=13100 - грузить надо сюда.

Добавлено через 12 минут

D:\WINDOWS\system32\iisui50.dll - файл от Майкрософта и сам же Майкрософт на вирустотал на него ругается.

D:\Program Files\DrWeb\oiKr447h.sys - поищите через AVZ.
Если найдется, добавить в карантин и загрузить отдельно.

Логи из удаленной сессии делали или локально на машине?

**H_S_A** · 11.10.2007, 20:02

Файл с вирусом загрузил по вышеприведённой ссылке.

Логи делал локально.

Про карантин:

Ошибка карантина файла, попытка прямого чтения (D:\Program Files\DrWeb\oiKr447h.sys)
Карантин с использованием прямого чтения - ошибка

Добавлено через 6 часов 17 минут

Из второй операционки (в ней вируса вроде нет) поискал oiKr447h.sys по диску.
Нет такого файла.
А загруженный мною ранее на сайт virusinfo_cure.zip вместе с новыми логами ничего полезного не содержат?

**PavelA** · 12.10.2007, 09:51

В том, что было загружено только одно подозрение на D:\WINDOWS\system32\iisui50.dll
Попрошу других посмотреть. Возможны особенности Win2003 не учитываются AVZ.

**H_S_A** · 12.10.2007, 10:22

Ясно, спасибо.
Файл iisui50.dll прямо в работающей системе можно переименовать.
Т.е. он не заблокирован (DLL не загружена?).

Даже не знаю, чем ещё можно систему проверить.

**Bratez** · 12.10.2007, 11:02

Сделайте дополнительный лог в безопасном режиме:
http://virusinfo.info/showthread.php?t=10387

**H_S_A** · 12.10.2007, 12:43

Высылаю дополнительный лог, сделанный в безопасном режиме.

**drongo** · 12.10.2007, 12:53

Что за фрукт будет?

Код:

begin
 QuarantineFile('D:\WINDOWS\is-A55N8.exe','');
 
end.

**H_S_A** · 12.10.2007, 13:01

Результат выполнения:

Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\is-A55N8.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\is-A55N8.exe)
Карантин с использованием прямого чтения - ошибка

Файла такого на самом деле нет.
В прошлый раз просили прислать oiKr447h.sys, и его тоже не было.
Похоже на то, что какой-то процесс маскируется: создаёт левые файлы и себя туда перебрасывает. Причём файлы похоже новые всё время.

**CyberHelper** · 22.02.2009, 02:35

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. d:\\windows\\system32\\iisui50.dll - HEUR:Trojan.Win32.Generic (DrWEB: Trojan.Inject.456)

Входящий и исходящий HTTP от имени svchost.exe (заявка № 13100)

Опции темы

Входящий и исходящий HTTP от имени svchost.exe

Итог лечения

Похожие темы

Исходящий трафик превышает входящий

входящий/исходящий трафик

Входящий и исходящий траффик

Большой исходящий и входящий траффик

входящий и исходящий трафик

Ваши права в разделе