Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Не обнаружить троян (заявка № 9267)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36

    Question Не обнаружить троян

    Здравствуйте.
    Пару недель назад Outpost после установки dial-up соединения стал постоянно сигналить о том, что services.exe запрашивает входящее соединение через UDP:1026 на мой сеансовый IP (DHCP). За время приема почты (10 - 15 минут) кнопочку "Блокировать однократно" приходится нажимать раз 20 - 30. После каждой блокировки внешние IP меняются, но всегда китайские:
    213.158.11.94
    221.130.92.72
    202.97.238.203
    58.19.183.42
    и т. д.
    Из окна сетвой активности Outpost видно только, что services.exe возбуждается каким-то n/a процессом.
    Других вредоносных эффектов пока не заметил. Хотя Outpost пару раз кричал, что ему пытаются изменить файлы, да The Bat иногда сообщает, что информация о компоненте SSCE5132.dll изменилась (на всякий случай - блокирую до перезапуска).
    Пробовал AVZ, Kaspersky Internet Security 6, Dr. Web Cure It - ничего не находят.
    При соединении из внутренней сети ADSL провайдера (через провайдерский прокси) эффекта не возникает, но коннект время от времени ненадолго подвисает (как я понимаю, присходит та же самая блокировка, но на провайдерском файере).
    Буду признателен за любую помощь. Ибо достал уже
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Загрузите карантин по правилам, тaм должен быть один подозрительный файл. Возможно ложняк, но всё же


    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

    Код:
    O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    Последний раз редактировалось drongo; 24.04.2007 в 19:13.

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Загружено, пофиксено. SolidPDF действительно ломился в сеть. Пока я его не снес из-за этого.
    Последний раз редактировалось Rhino; 24.04.2007 в 20:52.

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Фикс не помог Все продолжается плюс Windows Explorer опять пытался изменить файлы OP.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Ну может windows explorer немного патченный . Запакуйте его и пришлите как и предыдущий файл.

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Не могу добавить его в карантин, AVZ сообщает
    "Ошибка карантина файла "explorer.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка".
    Сжать winrar'ом с паролем?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    конечно , только выбирать в винраре формат *zip . Лабораторя касперского *rar не любит

  9. #8
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Загружено. Вы кое-что касперским ребятам отправляете?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от Rhino Посмотреть сообщение
    Загружено. Вы кое-что касперским ребятам отправляете?
    у нас с ними тесное сотрудничество, автоматом им идёт , то что пользователи нам загружают.

  11. #10
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Тогда приветы Машевскому. Мы с ними тоже немного сотрудничаем, у них с математиками туговато

  12. #11
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Мой троянчик зловредный оказался? Не дается?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Код:
    Здраствуйте!
    
    Файл чистый.
    
    С уважением,
    Павел Зеленский
    Вирусный аналитик
    
    ЗАО "Лаборатория Касперского"
    Тел/Факс: +7 (495) 797-8700
    E-mail:  newvirus@kaspersky.com
    Internet: http://www.kaspersky.com, http://www.viruslist.com
    
    
    > Attachment: 070424_232315_explorer_462e592347b75.zip
    
    >  VirusInfo Из темы http://virusinfo.info/showthread.php?t=9267 070424_232315_explorer_462e592347b75.zip
    >
    Быть может вот эти древние вещи :
    Код:
    C:\WINNT\system32\plugincpl131_16.cpl
    C:\WINNT\system32\Cult3D\IECult.dll
    способствуют этому , для чистоты эксперимента их удалить. Всё равно они старинные
    Последний раз редактировалось drongo; 25.04.2007 в 22:36.

  14. #13
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Что же дальше делать? Троян то живет. Очень уж не хочется праздники тратить на переодевание рабочей станции.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    363
    повторите пожалуйста логи AVZ установив перед этим драйвер расширеного мониторинга AVZPM..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Цитата Сообщение от Rhino Посмотреть сообщение
    Пару недель назад Outpost после установки dial-up соединения стал постоянно сигналить о том, что services.exe запрашивает входящее соединение через UDP:1026 на мой сеансовый IP (DHCP)...
    Из окна сетвой активности Outpost видно только, что services.exe возбуждается каким-то n/a процессом.
    А почему вы решили, что это троян? Соединение - входящее, т.е. не от вас что-то ломится, а к вам. Отсюда и процесс n/a - правилами для приложений данная активность не описывается, глобальные правила не настроены, Outpost в режиме обучения - вот и спрашивает каждый раз у вас, что с этим входящим соединением делать. Вам, скорее, сюда - http://forum.five.mhost.ru/kb2/index...%D0%B8_Outpost
    , проверять настройку глобальных правил. А в логах, действительно, ничего подозрительного.
    Последний раз редактировалось Numb; 25.04.2007 в 23:39.

  17. #16
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    повторите пожалуйста логи AVZ установив перед этим драйвер расширеного мониторинга AVZPM..
    Так я вроде предыдущие тоже под монитором делал. Повторяю на всякий случай, + при установленном соединении и запущенном браузере.
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    Быть может вот эти древние вещи :
    Удалил для порядка. Не помогает

  19. #18
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    А почему вы решили, что это троян?
    По косвенным.
    1. До возникновения эффектов ОР (после его запуска) показывал 18 открытых портов перед установлением соединения и столько же - после, перед запуском первого интернет приложения.
    После возникновения эффектов ОР (после его запуска) показывет 20 открытых портов перед установлением соединения и 21 - после, перед запуском первого интернет приложения (открывается дополнительно порт 500:UDP для lsass.exe, чего раньше вроде как не было) .
    2. При работе через двух очень разных dial-up провайдеров временнЫе характеристики запросов входящих соединений (интервал до первого запроса и последующая частота) практически одинаковы. Подумал, что вряд ли такое может быть при атаке извне. А вот если троян изнутри сообщает, что он в сети и готов к работе - вполне.
    3. Какая-то дрянь по системе все-таки ползает: то иконки у OP или TheBat'а поменяются, то винда про якобы 39 поврежденных системных файлов кричит и требует ОК нажать для реставрации.
    Может и паранойя. Специалисты признают - соглашусь.
    Вам, скорее, сюда - http://forum.five.mhost.ru/kb2/index...%D0%B8_Outpost
    , проверять настройку глобальных правил.
    Глобальные правила OP настраивал именно по этому руководству. Хотя отличия от дефолтных настроек совсем незначительные: отключены GRE Protocol и PPTP control connection. Ну и по мелочи: разлокировал сверхдлинные DNS-запросы и запретил находить новые настройки сети автоматически. Если еще что присоветуете - буду благодарен.

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Цитата Сообщение от Rhino Посмотреть сообщение
    По косвенным.
    1. До возникновения эффектов ОР (после его запуска) показывал 18 открытых портов перед установлением соединения и столько же - после, перед запуском первого интернет приложения.
    После возникновения эффектов ОР (после его запуска) показывет 20 открытых портов перед установлением соединения и 21 - после, перед запуском первого интернет приложения (открывается дополнительно порт 500:UDP для lsass.exe, чего раньше вроде как не было) .
    2. При работе через двух очень разных dial-up провайдеров временнЫе характеристики запросов входящих соединений (интервал до первого запроса и последующая частота) практически одинаковы. Подумал, что вряд ли такое может быть при атаке извне. А вот если троян изнутри сообщает, что он в сети и готов к работе - вполне.
    3. Какая-то дрянь по системе все-таки ползает: то иконки у OP или TheBat'а поменяются, то винда про якобы 39 поврежденных системных файлов кричит и требует ОК нажать для реставрации.
    Может и паранойя. Специалисты признают - соглашусь.

    Глобальные правила OP настраивал именно по этому руководству. Хотя отличия от дефолтных настроек совсем незначительные: отключены GRE Protocol и PPTP control connection. Ну и по мелочи: разлокировал сверхдлинные DNS-запросы и запретил находить новые настройки сети автоматически. Если еще что присоветуете - буду благодарен.
    К сожалению, на вашей ОС невозможно установить, какое приложение слушает порт. Однако я практически уверен, что это элементарный эксплойт, который долбится к вам на машину. Пункт 2 вашего ответа значения не имеет: если мы действительно имеем дело с эксплойтом, то ему глубоко все равно, какое у вас подключение - может, его так настроили, начинать долбить машину через n минут после ее появления в сети. Я не вижу никаких причин для беспокойства, хотя вам, конечно же, нисколько не повредила бы установка Windows XP SP2, если позволяет железо.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  21. #20
    Junior Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    14
    Вес репутации
    36
    я практически уверен, что это элементарный эксплойт, который долбится к вам на машину
    Вердикт принят. Поскольку компетентность вашей команды широко известна в узких кругах . Приношу извинения всем, кого зазря оторвал от дел.
    хотя вам, конечно же, нисколько не повредила бы установка Windows XP SP2, если позволяет железо.
    Спасибо. Но этот 300MHz прадедушка и win2k не очень тянет. KIS 6.0 его анализировал 19 часов. А две действительно рабочие станции отделены от глобальной сети известным Вам наилучшим файрволлом.

  • Уважаемый(ая) Rhino, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Как обнаружить программу шпиона
      От NikM в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.06.2011, 01:46
    2. Невозможно обнаружить вирус.
      От goldensochi в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 08.03.2011, 21:44
    3. Ответов: 29
      Последнее сообщение: 01.11.2009, 12:10
    4. Не могу обнаружить вирус
      От MPAK в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:15
    5. Ответов: 1
      Последнее сообщение: 15.08.2008, 22:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00517 seconds with 23 queries