Показано с 1 по 10 из 10.

svchost сканирует сеть (заявка № 37732)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2009
    Сообщений
    5
    Вес репутации
    56

    Thumbs up svchost сканирует сеть

    Здравствуйте. Недавно обнаружил что процес svchost сканирует сеть - причем сканирует только 445 порты и ещё слушает на моей машине порт 6878. А именно процес который запускается таким комманд лайном "%SystemRoot%/system32/svchost.exe -k netsvcs". При запуске системы в iptables добавляется один или несколько маршрутов на чужие ip адреса - адреса всегда разные.
    wireshak'ом проснифал пакеты которые шлет процес и при попытке сохранение лога снифера - аваст нашел в нем трой win32.mysql.slammer - значит svchost не только сканирует но ещё и рассылает вредоносный код. Жду вашей помощи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('F:\WINDOWS\system32\bkoold.dll','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=37732).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2009
    Сообщений
    5
    Вес репутации
    56
    скрипт выполнил, карантин выслал

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ого, аж 19 мб! Там архив какой-то попал при сканировании, он не нужен. Интересует только F:\WINDOWS\system32\bkoold.dll. Пришлите из карантина только его.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2009
    Сообщений
    5
    Вес репутации
    56
    выслал запрошенный карантин. кстати проблема осталась - процес подолжает сканировать сеть

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    bkoold.dll - Net-Worm.Win32.Kido.ih

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('F:\WINDOWS\system32\bkoold.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2009
    Сообщений
    5
    Вес репутации
    56
    вот новые логи
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах чисто. Проблема решена?

    P.S. Обратите внимание:
    F:\motoZ6\REFLASH_GFMOD_STABLE_2_8.rar/{RAR}/PV4FCrH.exe >>> подозрение на Trojan.Win32.Buzus.adpv ( 0999C605 08574F3A 001B105E 002E23FD 76288)
    F:\motoZ6\zMod_0.7.7.rar/{RAR}/wPuNQ04.exe >>> подозрение на Trojan.Win32.Buzus.adpv ( 0999C605 08574F3A 001B105E 002E23FD 76288)
    Подозрения подтвердились, удалите эти архивы.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2009
    Сообщений
    5
    Вес репутации
    56
    да спасибо, проблема решена

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. f:\\motoz6\\reflash_gfmod_stable_2_8.rar - Trojan.Win32.Agent.afqq (DrWEB: archive: Dialer.Papusu.2)
      2. f:\\motoz6\\zmod_0.7.7.rar - Trojan.Win32.Agent.afqq (DrWEB: archive: Dialer.Papusu.2)
      3. f:\\windows\\system32\\bkoold.dll - Net-Worm.Win32.Kido.ih (DrWEB: Trojan.Siggen.2003)


  • Уважаемый(ая) scood, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ошибка svchost.exe.Пропадает сеть
      От MArtar в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.12.2009, 10:10
    2. svchost.exe сканирует сеть + другие проблемы
      От Anisimov в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 09:29
    3. svchost сканирует порты
      От i.homyak в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:08
    4. svchost сканирует сеть
      От Anisimov в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.12.2008, 16:17
    5. svchost.exe сканирует порты в инет...
      От Кны в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.06.2007, 18:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01116 seconds with 20 queries