поведение как будто скрытый radmin

**Wasapl** · 09.12.2009, 17:25

Добрый день!

Несколько недель назад начал замечать странное поведение: иногда курсор мыши самопроизвольно убегает за границы экрана. Подобно тому, как если бы кто-то подключался к компьютеру с помощью radmin'а в режиме "полное управление" и "выдирал" свою мышку из окна удаленной машины.

Я снес радмин сервер на машине (тот который ставил сам), несколько раз проверил антивирусом, но мышка продолжала убегать.

Далее я заметил системные программы слушают на странных необщеизвестных UDP портах:
winlogon - udp/1048 или udp/1027
lsass - udp/1030 или udp/1029
svchost - udp/1025
spoolsv - udp/1098 или udp/1060
С каждой перезагрузкой номера портов незначительно меняются. Понять, какие именно загруженные каждой программой dllки слушают эти порты, мне не удалось - при изучении с помощью AVZ, process Explorer все видимые dllки (и сами исполняемые файлы) были подписаны и адекватны.

На компьютере стоит avira antivir Personal и Agnitum Outpost Pro 6.5.3.

Выполняя скрипт лечения/карантина забыл выключить антивирус, и во время сканирования дисков антивирус поймал два файлика, которые я от неожиданности удалил:

Virus or unwanted program 'SPR/RAdmin.ft.6 [riskware]'
detected in file 'C:\Documents and Settings\VPleshakov\Local Settings\Temp\avz_3708_2.tmp.
Action performed: Delete file

Virus or unwanted program 'SPR/Remote.CJ [riskware]'
detected in file 'C:\Documents and Settings\VPleshakov\Local Settings\Temp\avz_3708_2.tmp.
Action performed: Delete file

Однако, не смотря на лечение, udp-порты до сих пор открыты.

Посмотрите, пожалуйста, логи, скажите свое мнение.

Кстати, ранее, В погоне за этим зверем, я что-то отломал в службе "рабочая станция" (LanmanWorkstation) - теперь при попытке ее запустить "от службы получен код ошибки 2250". Советы указаные здесь http://support.microsoft.com/kb/841570 мне не помогли.
Также не запускается "Локатор удаленного вызова процедур (RPC)" (RpcLocator) - но это,видимо, от того что локатор зависит от службы "рабочая станция".
И почему-то не удается создавать СOM+ объекты - при попытке запустить например, Sun VirtualBox или rapimgr.exe из "Microsoft ActiveSync", появляется ошибка с номером 0x800706BA.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 09.12.2009, 19:21

В логах нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

**Wasapl** · 09.12.2009, 20:02

Вот. Из-за различных ограничений , приходится работать в трех браузерах, поэтому запустил все три.

Добавлено через 3 минуты

во вложение не пролезло:
virusinfo_files_QUARTIS.zip:
Ваш файл занимает 9.73 Мб байт, что превышает предел на форуме в 4.77 Мб для этого типа файла.
Залил вот сюда:
http://virusinfo.info/upload_clean.php
Результат загрузки
Файл сохранён как 091209_194240_virusinfo_files_QUARTIS_4b1fd3807739 f.zip
Размер файла 10203408
MD5 4c605a533dac1b32f80d98a4f7c14e85

Файл закачан, спасибо!

Добавлено через 18 минут

Результаты обработки
Архив 091209_194240_virusinfo_files_QUARTIS_4b1fd3807739 f.zip, загружен 09.12.2009 19:50:28, размер 10203408 байт
Всего файлов: 60 (исполняемых 55), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 28
обычный приоритет: 31

Тоесть все хорошо?

А вы можете мне помочь раскопать ответ на вопрос, почему системные программы слушают на странных необщеизвестных UDP портах?