Идет сканирование сети с порта 445, антивирусы проблему не видят

Printable View

12.07.2012, 10:32
Ent1

Вложений: 3

Идет сканирование сети с порта 445, антивирусы проблему не видят

Здравствуйте. Появилась вот такая проблема: Заметил, что исходящий трафик на локальном компьютере больше, чем входящий, tcpview показал, что процесс система обращается с локального 445 порта к другим компьютерам в сети(сканируя их порты с шагом 2). Проверка Др Вебом и Касперским ничего не дает. АВЗ ругается на 3 системных файла, но их меняет КриптЭК и КриптоПро. Сравнение файлов Windows (sfc/ scannow) ничего не дало, измененных файлов нет. переустановка системы поверх старой также проблемы не решило. заметил, что другие компы в сети уже также себя ведут. Установил пробную версию Касперского. закрыл на машине TCP/UDP соединения на 445 порту, проблемы остались, порты открыты. Периодически тупит печать на удаленные принтера, на других зараженных машинах такого нет. Логи прилагаю.
12.07.2012, 10:35
Info_bot

Уважаемый(ая) [B]Ent1[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.07.2012, 12:13
Nikkollo

Установите Service Pack 3(может потребоваться повторная активация):
[url]http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4[/url]
Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]
Обновите Internet Explorer до актуальной версии (даже если не используете):
[url]http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie[/url]

При подключенном интернете выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
[/CODE]

Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
[url]http://virusinfo.info/upload_clean.php[/url]
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
12.07.2012, 15:22
Ent1

Файл сохранён как 120712_112033_virusinfo_files_GLBUH_4ffeb3013053d.zip
Размер файла 1192751
MD5 3039be4bf661f95dd56726d0c8c15a5a
13.07.2012, 12:37
Ent1

Сегодня заблокировал SbisMon.exe Касперским. У него стояло разрешение на программу записывать файлы реестра, создавать записи, управлять заданиями печати и т.д. (что ему скорее всего не нужно) . Часть непонятных соединений ушла, печатает теперь через раз (но хоть так).
13.07.2012, 19:08
Nikkollo

Подозрительного в логах и архиве не увидел.
13.07.2012, 20:24
Ent1

том то и дело. Антивирусы и АВЗ ничего не видят, но TCPview и Сurrsport показывают непонятную сетевую активность. конкретно: с 445 порта идет сканирование портов другого компьютера в сети, процесс один показывает неизвестно, другой - система, эти процессы не удаляются. Постепенно и другие машины начинают вести себя также, за исключением тормозов при печати. Что еще можно сделать,не подскажите?
13.07.2012, 20:59
Дeнис

[b]Ent1[/b], Скриншот TCPView приложите.

Программа вполне легальная, беспокоиться не о чем! Могу предположить, что просто из за особенностей программы идут такие глюки с печатью!
13.07.2012, 21:36
Nikkollo

D:\Сбис ++\Мониторинг\SbisMon.exe
можете временно отключить в автозапуске? (например в msconfig)
16.07.2012, 09:18
Ent1

Вложений: 3

[ATTACH=CONFIG]370254[/ATTACH][ATTACH=CONFIG]370255[/ATTACH][ATTACH=CONFIG]370256[/ATTACH]

SbisMon.exe отключал, толку никакого. Особенностью программы это быть не может, т.к. сама суть программы в том, чтобы отслеживать новые письма из налоговой, да и раньше такого за ней не замечалось. Если надо, то могу с других компов скрины сделать, но там тоже самое, правда сбиса нет. Проблема в том, что начинает дико тупить сеть, пользователь не может работать даже с удаленным рабочим столом и посылать задания на печать, т.к. пишет....нет связи с сервером, правда это происходит не сразу. а где-то через час, полтора работы.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Вот лог TCPView где-то минут через 30 после включения компьютера.
[spoiler]svchost.exe 1944 UDP glbuh ntp * *
svchost.exe 1944 UDP glbuh ntp * *
svchost.exe 1808 TCP glbuh epmap glbuh 0 LISTENING
System 4 UDP glbuh netbios-ns * *
System 4 UDP glbuh netbios-dgm * *
System 4 TCP glbuh netbios-ssn glbuh 0 LISTENING
System 4 UDP glbuh microsoft-ds * *
System 4 TCP glbuh microsoft-ds glbuh 0 LISTENING
lsass.exe 1516 UDP glbuh isakmp * *
avp.exe 968 TCP glbuh 1026 glbuh 0 LISTENING
alg.exe 1996 TCP glbuh 1027 glbuh 0 LISTENING
svchost.exe 2016 UDP glbuh 1035 * *
svchost.exe 1944 UDP glbuh 1148 * *
svchost.exe 2016 UDP glbuh 1250 * *
svchost.exe 2016 UDP glbuh 1304 * *
svchost.exe 2016 UDP glbuh 1305 * *
svchost.exe 2016 UDP glbuh 1306 * *
svchost.exe 2016 UDP glbuh 1307 * *
[System Process] 0 TCP glbuh 1808 mc.yandex.ru http TIME_WAIT
[System Process] 0 TCP glbuh 1813 arn06s01-in-f8.1e100.net http TIME_WAIT
[System Process] 0 TCP glbuh 1821 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1824 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1846 2.23.79.144 http TIME_WAIT
[System Process] 0 TCP glbuh 1847 173.194.32.196 https TIME_WAIT
[System Process] 0 TCP glbuh 1848 2.16.184.239 http TIME_WAIT
[System Process] 0 TCP glbuh 1849 www-slb-11-09-frc1.facebook.com http TIME_WAIT
[System Process] 0 TCP glbuh 1852 srv99-131.vkontakte.ru http TIME_WAIT
[System Process] 0 TCP glbuh 1853 srv99-131.vkontakte.ru https TIME_WAIT
[System Process] 0 TCP glbuh 1860 virusinfo.info http TIME_WAIT
[System Process] 0 TCP glbuh 1861 2.23.79.144 http TIME_WAIT
[System Process] 0 TCP glbuh 1862 2.23.159.144 http TIME_WAIT
[System Process] 0 TCP glbuh 1863 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1865 173.194.32.201 https TIME_WAIT
[System Process] 0 TCP glbuh 1867 la.linkedin.com http TIME_WAIT
[System Process] 0 TCP glbuh 1870 95.211.85.42 http TIME_WAIT
[System Process] 0 TCP glbuh 1874 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1876 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1878 119.254.93.27 https TIME_WAIT
[System Process] 0 TCP glbuh 1879 119.254.93.18 https TIME_WAIT
[System Process] 0 TCP glbuh 1880 119.254.93.22 https TIME_WAIT
[System Process] 0 TCP glbuh 1881 119.254.93.20 https TIME_WAIT
[System Process] 0 TCP glbuh 1882 119.254.93.30 https TIME_WAIT
[System Process] 0 TCP glbuh 1883 119.254.93.33 https TIME_WAIT
[System Process] 0 TCP glbuh 1885 130.117.190.201 https TIME_WAIT
svchost.exe 2016 UDP glbuh 1886 * *
svchost.exe 2016 UDP glbuh 1887 * *
svchost.exe 2016 UDP glbuh 1888 * *
[System Process] 0 TCP glbuh 1889 130.117.190.204 https TIME_WAIT
[System Process] 0 TCP glbuh 1890 130.117.190.207 https TIME_WAIT
[System Process] 0 TCP glbuh 1891 130.117.190.213 https TIME_WAIT
[System Process] 0 TCP glbuh 1892 130.117.190.210 https TIME_WAIT
[System Process] 0 TCP glbuh 1893 130.117.190.216 https TIME_WAIT
[System Process] 0 TCP glbuh 1894 130.117.190.228 https TIME_WAIT
[System Process] 0 TCP glbuh 1895 130.117.190.231 https TIME_WAIT
[System Process] 0 TCP glbuh 1896 130.117.190.234 https TIME_WAIT
[System Process] 0 TCP glbuh 1897 130.117.190.237 https TIME_WAIT
[System Process] 0 TCP glbuh 1898 130.117.190.240 https TIME_WAIT
[System Process] 0 TCP glbuh 1899 130.117.190.243 https TIME_WAIT
svchost.exe 200 UDP glbuh 1900 * *
svchost.exe 200 UDP glbuh 1900 * *
[System Process] 0 TCP glbuh 1900 130.117.190.246 https TIME_WAIT
[System Process] 0 TCP glbuh 1901 202.177.216.227 https TIME_WAIT
[System Process] 0 TCP glbuh 1902 202.177.216.230 https TIME_WAIT
[System Process] 0 TCP glbuh 1903 202.177.216.233 https TIME_WAIT
[System Process] 0 TCP glbuh 1904 202.177.216.236 https TIME_WAIT
[System Process] 0 TCP glbuh 1905 27.111.185.20 https TIME_WAIT
[System Process] 0 TCP glbuh 1906 27.111.185.22 https TIME_WAIT
[System Process] 0 TCP glbuh 1907 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1909 27.111.185.24 https TIME_WAIT
[System Process] 0 TCP glbuh 1910 27.111.185.26 https TIME_WAIT
[System Process] 0 TCP glbuh 1911 27.111.185.28 https TIME_WAIT
[System Process] 0 TCP glbuh 1913 38.113.165.68 https TIME_WAIT
[System Process] 0 TCP glbuh 1914 38.113.165.71 https TIME_WAIT
[System Process] 0 TCP glbuh 1915 38.113.165.74 https TIME_WAIT
[System Process] 0 TCP glbuh 1916 38.113.165.77 https TIME_WAIT
[System Process] 0 TCP glbuh 1917 38.113.165.80 https TIME_WAIT
[System Process] 0 TCP glbuh 1918 38.113.165.83 https TIME_WAIT
[System Process] 0 TCP glbuh 1919 38.113.165.86 https TIME_WAIT
[System Process] 0 TCP glbuh 1921 62.128.100.29 https TIME_WAIT
[System Process] 0 TCP glbuh 1922 62.128.100.31 https TIME_WAIT
[System Process] 0 TCP glbuh 1923 62.128.100.35 https TIME_WAIT
[System Process] 0 TCP glbuh 1924 62.128.100.37 https TIME_WAIT
[System Process] 0 TCP glbuh 1925 62.128.100.41 https TIME_WAIT
[System Process] 0 TCP glbuh 1926 62.128.100.43 https TIME_WAIT
[System Process] 0 TCP glbuh 1927 62.128.100.45 https TIME_WAIT
[System Process] 0 TCP glbuh 1928 62.128.100.47 https TIME_WAIT
[System Process] 0 TCP glbuh 1929 62.128.100.49 https TIME_WAIT
[System Process] 0 TCP glbuh 1930 62.128.100.51 https TIME_WAIT
[System Process] 0 TCP glbuh 1931 62.128.100.53 https TIME_WAIT
[System Process] 0 TCP glbuh 1932 62.128.100.55 https TIME_WAIT
[System Process] 0 TCP glbuh 1934 62.128.100.59 https TIME_WAIT
[System Process] 0 TCP glbuh 1935 62.128.100.61 https TIME_WAIT
[System Process] 0 TCP glbuh 1936 94.75.236.122 http TIME_WAIT
[System Process] 0 TCP glbuh 1937 user2 microsoft-ds TIME_WAIT
svchost.exe 2016 UDP glbuh 1939 * *
[System Process] 0 TCP glbuh 1980 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1982 user2 microsoft-ds TIME_WAIT
[System Process] 0 TCP glbuh 1984 user2 microsoft-ds TIME_WAIT
System 4 TCP glbuh 1986 user2 microsoft-ds ESTABLISHED
[System Process] 0 TCP glbuh 1988 94.75.236.122 http TIME_WAIT
fbserver.exe 1124 TCP glbuh 3050 glbuh 0 LISTENING
lsass.exe 1516 UDP glbuh 4500 * *
jqs.exe 1112 TCP glbuh 5152 glbuh 0 LISTENING[/spoiler]
16.07.2012, 13:06
Techno

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
16.07.2012, 17:17
Ent1

Вложений: 1

Вот этот лог
16.07.2012, 17:19
Techno

В логах ничего необычного...
16.07.2012, 17:29
Ent1

Нашел в логе Virus.Expiro. Но действия не его. Что странно-перестала работать сеть(значок есть, пинг непроходит, но переодически что-то принимается). сделал sfc/scannow, сеть заработала буквально на час. Опять же ничего в логах не видно. TCPview показывает тоже самое-что-то стучится в сеть, а что именно не видно. Сейчас другой компьютер стал переодически тупить с сетью: т.е. пинг не стабильный, не подключается по сети к другим компам. в чем проблема - антивирусники не видят.
19.07.2012, 11:12
Ent1

Часть проблемы ушла. Коммутатор оказался неисправен, заменил на новый. Но все равно на машине создаются и принимаются неизвестные соединения. Не могу вычислить процесс , который их создает. Трафик также лезет: разница между входящим и исходящим составляет ~100 пакетов. Подскажите, чем еще можно проверить компьютер и все-таки вычислить зловреда. Кстати, Касперского снес, он систему грузил до 80 %, поставил триальный АВГ.