svchost.exe открывает много соединений на 445 порт
[ATTACH]683219[/ATTACH]
[ATTACH]683220[/ATTACH]
[ATTACH]683221[/ATTACH]
Запускалось через RDP, autologger использовать не удалось, он при запуске выдает ошибку о том, что он запущен через RDP
Printable View
svchost.exe открывает много соединений на 445 порт
[ATTACH]683219[/ATTACH]
[ATTACH]683220[/ATTACH]
[ATTACH]683221[/ATTACH]
Запускалось через RDP, autologger использовать не удалось, он при запуске выдает ошибку о том, что он запущен через RDP
Уважаемый(ая) [B]adolganin[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
c:\windows\mssecsvc.exe - вот эту штуку вчера уже с помощью avz удалил. Service pack установил. Но исходящие TCP соединения на множество адресов по 445 порту не прекратились.
Эти политики ipsec сами создавали? Если нет - [URL="https://virusinfo.info/showthread.php?t=4491"]пофиксите в Hijackthis[/URL]:
[CODE]O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block[/CODE]
Что за программы в папке E:\www\CurrencyExchange знаете, надеюсь?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Политики удалил.
В папке E:\www\CurrencyExchange известная программа. С ней все в порядке.
Скрипт выполнил, вот его результат: [INDENT]"Поиск критических уязвимостей[/INDENT]
[INDENT]Установите новый Internet Explorer[/INDENT]
[INDENT][URL]https://windows.microsoft.com/ru-ru/internet-explorer/download-ie[/URL][/INDENT]
[INDENT][/INDENT]
[INDENT][микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/INDENT]
[INDENT]Жизненный цикл Microsoft Office 2003 закончился. Используйте современное ПО.[/INDENT]
[INDENT][/INDENT]
[INDENT]Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода[/INDENT]
[INDENT][URL]https://www.catalog.update.microsoft.com/Search.aspx?q=KB2726929[/URL][/INDENT]
[INDENT]Для установки этого обновления требуется установить SP3 для Microsoft Office 2003[/INDENT]
[INDENT][URL]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206[/URL][/INDENT]
[INDENT][/INDENT]
[INDENT]Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода[/INDENT]
[INDENT][URL]https://www.catalog.update.microsoft.com/Search.aspx?q=KB2850047[/URL][/INDENT]
[INDENT]Для установки этого обновления требуется установить SP3 для Microsoft Office 2003[/INDENT]
[INDENT][URL]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206[/URL][/INDENT]
[INDENT][/INDENT]
[INDENT]Обнаружено уязвимостей: 4"[/INDENT]
Файлы с результатами работы [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] во вложении
Процесс, который открывал большое количество tcp соединений нашел через netstat, svchost32. При снятии задачи с этим pid через несколько секунд запускается новая, которая снова пытается открыть соединения. Есть еще 2 процесса, которые работают под svchost32 их тоже снять не получается. Но удалось им сделать suspend через process explorer и 3-й процесс перестал запускаться, tcp соединения перестали открываться.
1) политики удалил
2) Программа известная, с ней все в порядке
3) скрипт выполнил, результат во вложении
4) запустил, результат во вложении
процесс, который открывал соединения найти удалось. netstat показывает pid. Убить процесс можно, но запускается новый. Работает под svchost32. Кроме него еще 2 процесса под ним работают. Их тоже можно убить, но тоже сразу же запускаются новые. Удалось через process explorer сделать suspend для них. Сейчас соединения не открываются.
В соединениях по порту 445 (SMB) для сервера ничего необычного нет. С какими хостами соединение, в локальной сети?
Обновления по ссылкам из avz_log.txt стоит установить.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]2[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\mssecsvc.exe - [B]Trojan-Ransom.Win32.Wanna.m[/B] ( B=
itDefender: Gen:Variant.Symmi.53623, AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\windows\tasksche.exe - [B]Trojan-Ransom.Win32.Wanna.zbu[/B] (=
BitDefender: Gen:Trojan.Heur.RP.wtW@aGEmS3di, AVAST4: Win32:WanaCry-A=
[Trj] )[/LIST][/LIST]