-
Junior Member
- Вес репутации
- 53
Аудит отказов зафлужен svchost.exe от NT AUTHORITY
Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 23.11.2010
Время: 16:48:38
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: OWYN
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.
Имя: -
Путь: V:\WIN\system32\svchost.exe
Код процесса: 1188
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 50893
Разрешено: Нет
Пользователь извещен: Нет
что это значит и если это нормально как убрать логгирование тк я хотел поставить аудит на NTFS папку одну и смотреть потом логи, но они уже забиты и заметить что-то нужное будет неправдоподобно сложно.
С системой вроде всё хорошо, AnVir Task Manager ничего плохого не видит, а AVZ как и раньше ругается на непонятные перехваты (по их поводу я писал, но сказали что это тоже нормально)
Последний раз редактировалось olejah; 23.11.2010 в 17:24.
Причина: Логи не постятся, а прикрепляются
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добро пожаловать в раздел Помогите (Ваша тема была перемещена). У Вас вирус, выполните правила.
-
-
Junior Member
- Вес репутации
- 53
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('V:\WIN\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
QuarantineFile('V:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\net_share.bat','');
QuarantineFile('V:\WIN\system32\uninstall.exe','');
QuarantineFile('V:\DOCUME~1\Admin\LOCALS~1\Temp\b.exe','');
QuarantineFile('c:\cssrv\hlsm\hlsm.exe','');
QuarantineFile('V:\WIN\system32\mfnspadv32.dll','');
QuarantineFile('V:\WIN\mfnhks32.dll','');
QuarantineFile('V:\WIN\system32\msxml71.dll','');
DeleteFile('V:\WIN\system32\msxml71.dll');
DeleteFile('V:\DOCUME~1\Admin\LOCALS~1\Temp\b.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 53
всё прислал:
Файл сохранён как 101123_182709_quarantine_4cebdd4d9565d.zip
-
-
-
Junior Member
- Вес репутации
- 53
Повторные логи:
п.с. - аудит по прежнему зафлуживается svchost
-
-
-
Junior Member
- Вес репутации
- 53
два часа сканировало
вот лог:
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (PUP.AdvancedPRecovery) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_NAVIGATION_SOUNDS\services.exe (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\cheat\hlapex\hLaPEx.exe (Trojan.Dropper.PGen) -> No action taken.
V:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\427AVW31\eHf7929efbV03005f35002Reac29509102Tbc86b385Q00000000901800F0020000aJ10000601l00193181[1] (Trojan.Dropper) -> No action taken.
V:\Program Files\AVZ\avz4\Infected\2010-11-23\avz00001.dta (Malware.Packer.Gen) -> No action taken.
V:\Program Files\AVZ\avz4\Infected\2010-11-23\avz00002.dta (Malware.Packer.Gen) -> No action taken.
V:\Program Files\Internet Explorer\svcnost.exe (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
удалил, перезагрузил.
но по прежнему флудит, порты рандомные на каждое событие 40000+ всегда
Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 23.11.2010
Время: 23:52:42
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: OWYN
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.
Имя: -
Путь: V:\WIN\system32\svchost.exe
Код процесса: 1200
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 56750
Разрешено: Нет
Пользователь извещен: Нет
новые логи:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
v:\win\system32\drivers\tcpip.sys проверьте на virustotal.com
-
-
Junior Member
- Вес репутации
- 53
у меня уже очень давно virustotal.com перестал нормально работать, кнопки send ничего не делают ни в фаерфоксе стабильном ни в хроме бете
в нем только количество полуоткрытых соединений изменено, но приложил в архиве с пассом virus на всякий.
Последний раз редактировалось Owyn; 24.11.2010 в 16:39.
-
-
-
Junior Member
- Вес репутации
- 53
TDSS нашел только daemon tools
лог:
-
Добавьте svchost.exe в исключения брандмауэра.
-
-
Junior Member
- Вес репутации
- 53
Панель управления -> брандмауер стоит значение "Выключен" и при попытке добавления в исключения пишет "не удается добавить в исключения"
нужен ли отчет GMER или нужно ли поставить тип запуска работающей сейчас службы "Брандамауер" с "Авто" на "Отключено"?
-
нужно ли поставить тип запуска работающей сейчас службы "Брандамауер" с "Авто" на "Отключено"?
Поставьте. Посмотрите, что будет с проблемой.
-