-
Junior Member
- Вес репутации
- 58
поведение как будто скрытый radmin
Добрый день!
Несколько недель назад начал замечать странное поведение: иногда курсор мыши самопроизвольно убегает за границы экрана. Подобно тому, как если бы кто-то подключался к компьютеру с помощью radmin'а в режиме "полное управление" и "выдирал" свою мышку из окна удаленной машины.
Я снес радмин сервер на машине (тот который ставил сам), несколько раз проверил антивирусом, но мышка продолжала убегать.
Далее я заметил системные программы слушают на странных необщеизвестных UDP портах:
winlogon - udp/1048 или udp/1027
lsass - udp/1030 или udp/1029
svchost - udp/1025
spoolsv - udp/1098 или udp/1060
С каждой перезагрузкой номера портов незначительно меняются. Понять, какие именно загруженные каждой программой dllки слушают эти порты, мне не удалось - при изучении с помощью AVZ, process Explorer все видимые dllки (и сами исполняемые файлы) были подписаны и адекватны.
На компьютере стоит avira antivir Personal и Agnitum Outpost Pro 6.5.3.
Выполняя скрипт лечения/карантина забыл выключить антивирус, и во время сканирования дисков антивирус поймал два файлика, которые я от неожиданности удалил:
Virus or unwanted program 'SPR/RAdmin.ft.6 [riskware]'
detected in file 'C:\Documents and Settings\VPleshakov\Local Settings\Temp\avz_3708_2.tmp.
Action performed: Delete file
Virus or unwanted program 'SPR/Remote.CJ [riskware]'
detected in file 'C:\Documents and Settings\VPleshakov\Local Settings\Temp\avz_3708_2.tmp.
Action performed: Delete file
Однако, не смотря на лечение, udp-порты до сих пор открыты.
Посмотрите, пожалуйста, логи, скажите свое мнение.
Кстати, ранее, В погоне за этим зверем, я что-то отломал в службе "рабочая станция" (LanmanWorkstation) - теперь при попытке ее запустить "от службы получен код ошибки 2250". Советы указаные здесь http://support.microsoft.com/kb/841570 мне не помогли.
Также не запускается "Локатор удаленного вызова процедур (RPC)" (RpcLocator) - но это,видимо, от того что локатор зависит от службы "рабочая станция".
И почему-то не удается создавать СOM+ объекты - при попытке запустить например, Sun VirtualBox или rapimgr.exe из "Microsoft ActiveSync", появляется ошибка с номером 0x800706BA.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах нет ничего подозрительного.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 58
Вот. Из-за различных ограничений , приходится работать в трех браузерах, поэтому запустил все три.
Добавлено через 3 минуты
во вложение не пролезло:
virusinfo_files_QUARTIS.zip:
Ваш файл занимает 9.73 Мб байт, что превышает предел на форуме в 4.77 Мб для этого типа файла.
Залил вот сюда:
http://virusinfo.info/upload_clean.php
Результат загрузки
Файл сохранён как 091209_194240_virusinfo_files_QUARTIS_4b1fd3807739 f.zip
Размер файла 10203408
MD5 4c605a533dac1b32f80d98a4f7c14e85
Файл закачан, спасибо!
Добавлено через 18 минут
Результаты обработки
Архив 091209_194240_virusinfo_files_QUARTIS_4b1fd3807739 f.zip, загружен 09.12.2009 19:50:28, размер 10203408 байт
Всего файлов: 60 (исполняемых 55), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 28
обычный приоритет: 31
Тоесть все хорошо?
А вы можете мне помочь раскопать ответ на вопрос, почему системные программы слушают на странных необщеизвестных UDP портах?
Последний раз редактировалось Wasapl; 09.12.2009 в 20:02.
Причина: Добавлено
-
Сообщение от
Wasapl
А вы можете мне помочь раскопать ответ на вопрос, почему системные программы слушают на странных необщеизвестных UDP портах?
Нет - у нас форум, а не институт информатики: http://ru.wikipedia.org/wiki/UDP
-