Показано с 1 по 14 из 14.

Через svchost.exe в сеть лезет какая-то дрянь (заявка № 6914)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2006
    Сообщений
    7
    Вес репутации
    64

    Question Через svchost.exe в сеть лезет какая-то дрянь

    Суть проблемы. Outpost пишет следующее:
    Имя процесса: SVCHOST.EXE
    Удаленный адрес: 195.112.96.21 (это вторичный DNS моего провайдера)
    Удаленный порт: DNS
    Причина разрешения/блокировки: Block incoming UDP activity
    Состояние: ВХОД БЛОКИРОВАНО
    И ни одна программа не может выйти в инет! Outpost всё блокирует. Не надолго добавил SVCHOST.EXE в доверенные приложения (чтобы убедиться в том, что инет блокирует Outpost из-за какой-то заразы) - приложения в инет выходят нормально, скорость соединения осталась такой же, как и была, но вот реальная скорость работы сильно упала (у меня dial-up) - подозреваю использования моего компа для рассылки спама или подобных вещей. Правило для SVCHOST.EXE установил стандартные - инет опять "пропал".

    Еще, периодически, Outpost пишет следующее:
    Имя процесса: Недоступно
    Удаленный адрес: localhost
    Удаленный порт: 1038 (иногда бывает 1036 и т.д.)
    Причина разрешения/блокировки: Запретить транзитные пакеты
    Состояние: ВХОД БЛОКИРОВАНО
    Сканирования Касперским 6.0, Lavasoft Ad-Aware SE Personal и Spybot - Search & Destroy ни к чему не привели. "Ваша система защищена"... :-(
    Подскажите, что с моей системой? Что за заразу словил и как избавиться? Спасибо за любую помощь. Логи приаттачил.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Включите AVZ, выполните скрипт:
    begin
    QuarantineFile('C:\Program Files\Internet Explorer\brandicon\brandicon.hta','');
    QuarantineFile('C:\WINXP\System\Startlinks.exe','' );
    QuarantineFile('c:\winxp\system32\cthelper.exe','' );
    QuarantineFile('C:\WINXP\System32\ctspkhlp.dll','' );
    end.
    2. Пофиксите O4 - Startup: AVZ.lnk = ?
    3.Пришлите по правилам содержимое папки Quarantine
    Последний раз редактировалось Alex_Goodwin; 26.11.2006 в 16:16.

  4. #3
    Geser
    Guest
    А зачем удалять AVZ.HLP???

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Сорри. Надо удалить AVZ.hlp не вообще, а из автозагрузки.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Пофиксите с помощью HijackThis
    Код:
    O16 - DPF: {2A91CEB1-37F5-424C-997C-4C38A3677CD8} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_2_EN_XP.cab
    O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058_XP.cab

  7. #6
    Junior Member Репутация
    Регистрация
    26.11.2006
    Сообщений
    7
    Вес репутации
    64

    Все сделал как вы просили.

    Уважаемые специалисты. Все сделал как вы просили: пофиксил строки, отослал по правилам карантин (вчера). Но т.к. никаких сообщений по моей теме больше нет, то возник вопрос - дошел ли запрошенный файл? И как продвигается моё "дело"? Мои дальнейшие действия? Очень жду дальнейшей помощи и указаний. Без инета уже не могу!
    P.S. Большое спасибо за ВАШУ работу и сайт!

  8. #7
    Geser
    Guest
    Если все молчат, скорее всего ничего ведоносного не нашли. Скорее всего глюки Оутпоста. Нужно попробовать разрешить любые соединения для 195.112.96.21

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Файлы отправлены на исследование. Ждите.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    195.112.96.21 = dns2.maxnet.ru
    Раз это провайдерский DNS, то ему и положено вам пакеты слать - в ответ на ваши запросы.

  11. #10
    Junior Member Репутация
    Регистрация
    26.11.2006
    Сообщений
    7
    Вес репутации
    64
    Я звонил в техподдержку моего провайдера. Там сказали, что такое обращение к DNS не нормально и что в их практике были подобные случаи и это были руткиты, которые рассылали спам с зараженных компов.

  12. #11
    Geser
    Guest
    Насколько я знаю по DNS спам рассылать нельзя.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Тем более посредством входящих пакетов. Или они подразумевают, что руткит сидит на их DNS-сервере? Или что?

    Можно попросить Outpost пристальнее последить за SMTP-трафиком.

  14. #13
    Junior Member Репутация
    Регистрация
    26.11.2006
    Сообщений
    7
    Вес репутации
    64
    Разрешил сейчас svchost.exe то, что он "хочет". Потребовалось разрешить UDP с 1061, 1072, 1179. Скорость работы в инете - мизерная. Вот такой журнал выдал Аутпост:
    19:49:54 Недоступно ВХОД БЛОКИРОВАНО ICMP 213.175.119.151 Эхо-запрос/0 ICMP соединения
    19:46:52 Недоступно ВХОД БЛОКИРОВАНО ICMP 83.6.132.76 Эхо-запрос/0 ICMP соединения
    19:44:46 Недоступно ВХОД БЛОКИРОВАНО TCP 61.187.10.162 1410 Пакет на закрытый порт
    19:43:46 svchost.exe ВХОД БЛОКИРОВАНО TCP 195.112.106.24 3769 Block incoming RPC (TCP)
    Что делать - не знаю. Боюсь дальше работать в этой винде.

  15. #14
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    74
    Насколько я знаю по DNS спам рассылать нельзя.
    насчет спама нереально, а ухитриться подсадить трояна по DNS и качать всего по несколько байт за одно обращение можно, но это слишком заумно и долго, хе, через UDP без подтверждения и т.д., а тут с сервера провайдера... им заняться нечем чтоль..., бред какой-то.

    1. Закрыть порты 135 и 445 средствами Винды - вариантов много - где-то в соседней ветке этого форума написано как это сделать, если не ошибаюсь, тема так и называется "как закрыть порты 135 и 445" (точно не помню).
    2. Закрыть порт 1900 - в винде отключить службу "Обнаружение UNPnp ..." - вряд ли она Вам понадобится в 99,9%.
    Далее.
    C:\WINXP\System32\drivers\klif.sys
    Вы видимо раньше устанавливали Касперского, может даже бету, возможно она некорректно удалилась. На форуме тоже была тема "как удалить kav/kis" (точно тоже не помню).
    P.S. искренне извиняюсь, что не даю прямых ссылок.

    Еще, периодически, Outpost пишет следующее:
    Имя процесса: Недоступно
    Удаленный адрес: localhost
    Удаленный порт: 1038 (иногда бывает 1036 и т.д.)
    Причина разрешения/блокировки: Запретить транзитные пакеты
    Состояние: ВХОД БЛОКИРОВАНО
    localhost:127.0.0.1 нужен - без него никак. (изредка даже вся подсеть 127.0.0.0 нужна, но это зависит от софта на машине). А вот насчет транзитов, хм, странно, видимо такое выскакивало, когда вы устанавливали софт, который пропускал трафик сначала через себя (например тот же KAV), а только потом отдавал на анализ Аутпосту.

    195.112.96.21 = dns2.maxnet.ru
    DNS2? а что у Вашего провайдера нет DNS1? Хитрый у Вас провайдер. А если один из серверов повиснет? Вся сетка с юзерами встанет ведь, но это другая тема.

    ....
    Попробуйте в Outpost для svchost.exe отредактировать правило [Block incoming UDP activity] (смотрите внимательно) :
    Где протокол UDP
    Где направление входящее
    (по желанию можно вписать адрес прова - 195.112.96.21)
    и где локальный порт 1025-1045
    Разрешить эти данные
    Это еще не всё. Обязательно выше по списку должно стоять вот такое правило [DNS Client UDP connection]:
    Где протокол UDP
    Где направление исходящее
    (по желанию можно вписать адрес прова - 195.112.96.21)
    и где удаленный порт 53
    и где локальный порт 1024-65535
    Разрешить эти данные
    и Включить динамическую фильтрацию
    Скорее всего именно в дин.ф. трабла.

    ...
    А вообще, лично я не вижу никакого присутствия троянов и т.д.
    Поэтому мне кажется проблема именно в Outpost, а не в троянах. (траблы с провайдером в расчет не берем - будем считать, что у него все ОК).

    Если не получится, то попробуйте удалить svchost из списка приложений в Outpost, подключиться к инету и создать для него правила заново на автомате, и временно отключите в Outpost модуль "DNS"-кеш.

    P.S. извиняюсь за сумбурность слов. Как смог.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  • Уважаемый(ая) sergius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус лезет через svchost в google-in-counter.org
      От proh в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.05.2011, 13:17
    2. Засела какая-то дрянь. Не могу вычислить.
      От Lolypop в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.08.2010, 11:24
    3. Какая-то дрянь с компа знакомой.
      От murella в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.07.2010, 11:47
    4. Дрянь ломится через svchost.exe
      От tovSuhov в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:53
    5. Какая-то дрянь спамит с моего компа
      От TPAKTOP в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00276 seconds with 20 queries