Firewall стал сообщать что C:\windows\svchost.exe лезет на 123 порт на разные IP. Возможно из-за этого на контроллере домена стала выпадать ошибка
[q]Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.[/q]
Возможно и на контроллере засела гадость, а может это моя машина его вешает.
Посмотрел список подозрительных объектов, какая то зараза из папки Temp работает. и svchost.exe слушает 123 порт
Спасибо
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В сборе информации упоминается 2 таких файла C:\Temp\sfamcc00001.dll
Причем после перезагрузки они все равно там есть. Странно зачем.
угу 123 udp это служба времени. Но маниакальным деланием svchost лезет на любой подвирнувшийся ip по этому порту. Раз прям пошел по подряд 10.0.0.12, 10.0.0.13...
Добавлено через 11 часов 47 минут
Скачал утилиту от Касперского. проверяю ей. еще часа 3 проверять. Она уже нашла червя Net-Worm.win32.Kido.j в файлах
c:\windows\system32\aacgmtoz.dll
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\...\fpmmpfml[1].jpg
жду когда закончит проверку.
Добавлено через 32 минуты
в реестре нашел по имени файла aacgmtoz.dll
Имя службы: seuiej
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
карантин выслал. Туда добавил еще несколько файлов, которые утилита касперского опознала как трояны. Они лежали в кеше программы HandyCache в интернет хожу только оперой и файрфоксом.
Файл уже удалил. Потом сразу же, в безопасном режиме прошел в реестре и удалил все ключи seuiej которые нашел. на всякий случай сделал экспорт. Поставил заплатку WindowsXP-KB921883-x86-RUS. Пока работает.
В смысле а/вируса надо оставить?
Антивирус? у меня стоит DrWeb как основной, со спайдером. А у Nod32 amon отключен, он для проверки подозрительных файлов. Теперь еще касперская утилита "Klif Mini-Filter" подсадила.
контролирую.
Да, каспрерский спрашивал удалить себя с компа, я сказал нет думал попробовать перенести установленую на другую машину без установки. Значит надо подчистить.
Кстати удивило что касперский нашел трояна в себе же, в папке куда только что установился. Скачивал по ссылке из "правил". Ругнулась на файл
c:\virus removal tool\is-qph50\startup.exe Trojan-Spy.Win32.KeyLogger.bhg
Произошел рецидив. На моем компе svchost.exe уронил сервис файрвола fwsrv.exe. Сразу отключил комп от сети и стал проверять, утилита касперского снова нашла тот же вирус в файле
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\...\<имяфайла>[1].jpg Имя файла другое, не как в прошлый раз. Так же появился новый сервис, с новой dll в качестве параметра. Картинку я отловил, в архив сохранил. Интересно что это за NetworkService и что за кеш эксплорера. Подскажите какая уязвимость используется для проникновения и как этого избежать? Файлик картинки могу выслать, может поймете механизм, вдруг отличается от той dll что высылал ранее?
Файл в карантин не попал. Мне не очень не нравятся 2 dll
C:\Temp\sfamcc00001.dll
C:\Temp\sfareca00001.dll
я их в безопасном режиме удалял. Все равно появляюся. В свойствах написано Приложение "Сервер регистрации, (C) Microsoft" это я так понимаю для всех dll. Но левые они какие то, вкладки версия нету.
Файл в карантин не попал. Мне не очень не нравятся 2 dll
C:\Temp\sfamcc00001.dll
C:\Temp\sfareca00001.dll
я их в безопасном режиме удалял. Все равно появляюся. В свойствах написано Приложение "Сервер регистрации, (C) Microsoft" это я так понимаю для всех dll. Но левые они какие то, вкладки версия нету.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: