Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Несанкционированное соединение с удаленным хостом на 80 порт (заявка № 87018)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50

    Question Несанкционированное соединение с удаленным хостом на 80 порт

    Здравствуйте.
    В локальной сети предприятия была замечена активность с удаленным хостом (174.120.120.151:80). С таким IP хостов нет. Такое явление есть на всех хостах локалки. Проверки AVPTool, Dr. Web CureIt! в обычном, безопасном и с LiveCD режимах ничего не показали. Начались проблемы с сетью. Прошу помочь. Спасибо.
    Последний раз редактировалось mindinpanic; 02.09.2010 в 15:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    *обычном

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Эта тема еще актуальна.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Протокол антивирусной утилиты AVZ версии 4.32
    Версия АВЗ уже давно устарела, необходимо скачать новую - АВЗ + обновить её базы и переделать логи

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Обновил.
    Вирус сразу активизируется в случае:
    -открытия браузера;
    -перехода на сетевые росшары;
    -использования сетевых программ.
    В процессах ничего подозрительного.
    Последний раз редактировалось mindinpanic; 03.09.2010 в 15:43.

  7. #6
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Если есть свободные хэлперы, посоветуйте как ловить звереныша.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)
    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Готово.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    D:\Install\Antivir\avz4\Quarantine\2010-08-27\avz00007.dta (Malware.Packer) -> No action taken.
    D:\Install\Antivir\avz4\Quarantine\2010-08-27\avz00008.dta (Malware.Packer) -> No action taken.
    D:\Install\Antivir\avz4\Quarantine\2010-08-27\avz00013.dta (PUP.RemoteAdmin) -> No action taken.
    D:\Install\Antivir\avz4\Quarantine\2010-08-27\avz00014.dta (Malware.Tool) -> No action taken.
    D:\Install\Antivir\avz4\Quarantine\2010-09-02\avz00007.dta (Malware.Packer) -> No action taken.
    D:\Install\Antivir\avz4\Quarantine\2010-09-02\avz00008.dta (Malware.Packer) -> No action taken.
    D:\Setevaya\avz4\Quarantine\2010-09-04\avz00006.dta (Malware.Packer) -> No action taken.
    D:\Setevaya\avz4\Quarantine\2010-09-04\avz00007.dta (Malware.Packer) -> No action taken.

  11. #10
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Пофиксил. Не сработало. Какие еще можно применить методы?

    Добавлено через 1 час 49 минут

    Лююююдииииии....
    Последний раз редактировалось mindinpanic; 06.09.2010 в 18:25. Причина: Добавлено

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Ещё комплект логов сделайте

  13. #12
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Готово.
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Меня этот вирус доконает скоро, рубит процессы 1с-ки, firebird-овых клиентов. Люююдиии, ну пожалуйста....

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сделайте лог ComboFix

  16. #15
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Готово

  17. #16
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Человеки. Обратите внимание.

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Комбофикс поработал, что сейчас с проблемой?

  19. #18
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Проблема осталась. Появились новые симптомы, временами недоступна подсистема печати, сначала спасала перезагрузка службы, сейчас больше нет. Периодами забиваются диапазоны портов.

    Добавлено через 6 часов 32 минуты

    Обратите внимание, пожалуйста.

    Добавлено через 3 часа 28 минут

    Ау-у-у-у-у...
    Последний раз редактировалось mindinpanic; 08.09.2010 в 21:44. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    15
    Вес репутации
    50
    Вирус маскируется под System PID 4. От имени этого процесса открівается коннект на удаленній хост.

    Добавлено через 4 часа 12 минут

    Что нет больше вариантов кроме переустановки системы?
    Последний раз редактировалось mindinpanic; 10.09.2010 в 18:12. Причина: Добавлено

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от mindinpanic Посмотреть сообщение
    System PID 4
    Откуда у Вас такие данные?
    Почему Вы уверены, что это вирус?

  • Уважаемый(ая) mindinpanic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Соединение закрыто удаленным сервером
      От LadyDarky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.12.2011, 22:21
    2. Соединение закрыто удаленным сервером
      От gullit в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.12.2011, 17:08
    3. Соединение закрыто удаленным сервером
      От Eropka91 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.11.2011, 13:57
    4. соединение закрыто удаленным сервером
      От SpaceBunny в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.02.2011, 20:59
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01542 seconds with 20 queries