Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

svchost ломится в инет... (заявка № 13915)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63

    Thumbs up svchost ломится в инет...

    Согласно avz4, svchost.exe пытается соединиться по 80 порту с хостом 61.139.126.11

    Делает он эти попытки постоянно, как только подключаюсь к инету

    Антивирусы DrWeb и Касперский, а также AVZ4 - говорят "всё чисто" при проверке дисков и памяти.

    Вопрос такой - как отследить, что за прога посылает запросы?
    Точнее, как я понимаю, это ломится какой-то сервис?

    P.S. WindowsXP SP2 со всеми обновлениями.
    Последний раз редактировалось Wowa84; 06.11.2007 в 22:17. Причина: Поспешил малость :\

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Делайте логи по правилам раздела "Помогите!" и открывайте тему в разделе "Помогите!", прикрепив туда логи.

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Цитата Сообщение от Numb Посмотреть сообщение
    Делайте логи по правилам раздела "Помогите!" и открывайте тему в разделе "Помогите!", прикрепив туда логи.
    Я туда не пошел, так как выполнив операции, описанные в правилах, результатов не дали.

    Оки-доки, сделаю логи.

  5. #4
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Вижу тема перенеслась "автоматически" (кхм... сорри, неудачно пошутил )

    Причина моего беспокойства описана в первом посте.

    Логи собрал.

    Машина обвешана девайсами, как новогодняя ёлка, но последнюю неделю изменений в конфигурацию не вносились точно.
    Возникнут затруднения по драйверам - спрашивайте, отвечу без труда.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drwat.exe','');
     QuarantineFile('C:\WINDOWS\system32\MA2_6.scr','');
     QuarantineFile('C:\WINDOWS\system32\CTXFIHLP.EXE','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\vfpdata.dll','');   
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите карантин по приложению 3 правил.
    Поищите через AVZ WgaLogon.dll, если найдете - прикрепите к карантину.

  7. #6
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Сделано:

    Результат загрузки

    Файл сохранён как
    071106_143915_virus_4730d0f3e459f.zip
    Размер файла
    2004546
    MD5
    8c5ae4f8a9b7b2cc3534521052302711




    vfpdata.dll - на него CureIT ругается, KAV молчит. Насколько я понял - это часть MS ActiveSync
    Но вам виднее.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Касперский ни на один из файлов не прореагировал... пойду на вирустотале прогоню
    C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll
    C:\WINDOWS\system32\drwat.exe
    C:\WINDOWS\system32\MA2_6.scr
    C:\WINDOWS\system32\CTXFIHLP.EXE
    C:\WINDOWS\system32\DRIVERS\tcpip.sys
    C:\WINDOWS\system32\vfpdata.dll
    C:\WINDOWS\system32\wgalogon.dll

    Добавлено через 12 минут

    C:\WINDOWS\system32\vfpdata.dll
    AntiVir 7.6.0.30 2007.11.06 HEUR/Malware
    DrWeb 4.44.0.09170 2007.11.06 DLOADER.Trojan
    Panda 9.0.0.4 2007.11.06 Suspicious file
    Sophos 4.23.0 2007.11.06 Mal/Behav-001
    Webwasher-Gateway 6.0.1 2007.11.06 Heuristic.Malware
    C:\WINDOWS\system32\drwat.exe
    F-Secure 6.70.13030.0 2007.11.06 W32/Malware
    NOD32v2 2642 2007.11.06 probably unknown NewHeur_PE virus
    Norman 5.80.02 2007.11.06 W32/Malware
    Prevx1 V2 2007.11.06 Heuristic: Suspicious Self Modifying File
    Последний раз редактировалось rubin; 07.11.2007 в 00:25. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Как удалить?

    drwat тут же восстанавливается после удаления
    vfpdata.dll - нет доступа + в dllcache копия

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Давайте так пробовать: на время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор(если есть). Программа AVZ - файл - выполнит скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ctspkhlp.dll','');
     DeleteFile('C:\WINDOWS\system32\vfpdata.dll');
     DeleteFile('C:\WINDOWS\system32\drwat.exe');
    bc_deletesvc('Windows Management Instrumentations Driver Services');
    bc_importall;
    bc_activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ, повторите логи, начиная с п. 10 правил и , в дополнение, сделайте лог, о котором написано здесь: http://virusinfo.info/showthread.php?t=10387

  11. #10
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Результат загрузки
    Файл сохранён как
    071106_171813_virus_4730f63557fe2.zip
    Размер файла
    12487
    MD5
    f2d0007cea63aa8589808cfc5859d4e8

    ctspkhlp.dll относится к пакету драйверов для Creative Labs Audigy 2
    Хотя после общения с вами я уже ни в чем не уверен.

    Файл удалил. Ломиться перестало.

    Но возникли ошибки при выполнении ваших инструкций:
    1. При выполнении скрипта на команде ExecuteSysClean появилось окно [Invalid datatype for "] (AVZ версии 4.27) и скрипт перестал выполнятся, то есть ребут пришлось делать "вручную".
    2. Во время ребута комп завис - отображаются обои стола, курсор перемещается. Спас только ресет.
    3. При выполнении п.1 для формирования лога в SafeMode в логе АВЗ:
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Дравер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    1.4...
    (пункта 1.3 не было)

    Логи прилагаются.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт в Safe Mode
    Код:
    begin
    QuarantineFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys','');
    DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин вогласно приложения 3 правил...
    повторите логи....

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    C:\WINDOWS\system32\vfpdata.dll
    C:\WINDOWS\system32\drwat.exe
    Детектят Касперским как Trojan.Win32.Agent.cnw

  14. #13
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Цитата Сообщение от rubin Посмотреть сообщение
    C:\WINDOWS\system32\vfpdata.dll
    C:\WINDOWS\system32\drwat.exe
    Детектят Касперским как Trojan.Win32.Agent.cnw
    Моё доверие дядя Каспер потерял в начале 2007 года, когда инфицирование компьютера произошло в субботу вечеров (KAV сказал "Файл чист"), а распознование данного вируса в БД KAV'а появилось только на следующей неделе в четверг вечером.
    Уклон данного антивиря на предотвращение заражения неизвестным вирусом ведет к ложным срабатываниям, делая из пользователя параноика. А изменение дефолтовых правил ведет к заражению компьютера. Из-за данного "уклона" KAV стал беззубым антивирем, который нынче не в состоянии вылечить уже зараженный компьютер и устранить последствия заражения.

    Хех, в своё время я перешел на него, отказавшись от DrWeb. Ныне Каспер от меня не получит и рубля


    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт в Safe Mode
    Код:
    begin
    QuarantineFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys','');
    DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин вогласно приложения 3 правил...
    повторите логи....
    При выполнении данного скрипта вновь появляется окно с ошибкой
    [Invalid datatype for "] на команде ExecuteSysClean

    Лог выполнения скрипта:
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys)
    Карантин с использованием прямого чтения - ошибка
    Удаление файла:C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys
    >>>Для удаления файла C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys необходима перезагрузка
    Автоматическая чистка следов удаленных в ходе лечения программ
    -------------

    На этом скрипт прерывается.
    В карантине ничего нет.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сделайте лог еще раз http://virusinfo.info/showthread.php?t=10387

  16. #15
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Лог при выполнении стандартного скрипта "Поиск и нейтрализация RootKit UserMode и KernelMode" в защищенном режиме:
    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен


    Данная ошибка обмена - это нормально?
    В нормальном режиме этот скрипт отрабатывается без ошибки.

    Лог исследования системы прилагается.
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
     BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\hidn.exe');
     BC_DeleteFile('C:\temp.zip');
     BC_DeleteFile('C:\WINDOWS\system32\re_file.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    попробуйте сделать логи....

  18. #17
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    Логи.
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RenameFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys', 'C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.bak');
     BC_QrFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.bak');
     BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.sys');
     BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\m_hook.bak'');
     BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\hidn.exe');
     BC_DeleteFile('C:\Documents and Settings\Wasly\Application Data\hidires\hidires.exe');
     BC_DeleteFile('C:\temp.zip');
     BC_DeleteFile('C:\WINDOWS\system32\re_file.exe');
     BC_DeleteSvc('m_hook');
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите лог ... в SafeMode
    Последний раз редактировалось V_Bond; 08.11.2007 в 11:06.

  20. #19
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    16
    Вес репутации
    63
    В карантине только m_hook.bak. Закачан по п.3

    Файл сохранён как 071108_001315_virus_4732a8fbc5ab3.zip
    Размер файла 332
    MD5 b786418e9ba94a156ab765e771d23165

    И лог, сделанный в Safe Mode.
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    AVZ -сервис -диспетчера процессов остановить маскирующийся процесс hidn.exe или hidires.exe
    затем выполните скрипт из поста 18 ....
    повторите лог ... в SafeMode
    Последний раз редактировалось V_Bond; 08.11.2007 в 10:52.

  • Уважаемый(ая) Wowa84, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. updatedr.exe ломится в инет
      От SteeL-Perm в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.07.2009, 12:19
    2. Вирус ломится в инет
      От M_a_r_a в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:25
    3. Lanmanwrk ломится в инет
      От Federal_08 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:25
    4. комп в инет ломится и че-то качает=(
      От sonic8191 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:50
    5. что-то ломится через RAS в инет
      От tov-serjant в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.11.2008, 22:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01497 seconds with 20 queries