svchost сканирует сеть

Printable View

19.01.2009, 13:13
scood

Вложений: 3

svchost сканирует сеть

Здравствуйте. Недавно обнаружил что процес svchost сканирует сеть - причем сканирует только 445 порты и ещё слушает на моей машине порт 6878. А именно процес который запускается таким комманд лайном "%SystemRoot%/system32/svchost.exe -k netsvcs". При запуске системы в iptables добавляется один или несколько маршрутов на чужие ip адреса - адреса всегда разные.
wireshak'ом проснифал пакеты которые шлет процес и при попытке сохранение лога снифера - аваст нашел в нем трой win32.mysql.slammer - значит svchost не только сканирует но ещё и рассылает вредоносный код. Жду вашей помощи
19.01.2009, 14:37
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\bkoold.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=37732[/url]).
19.01.2009, 15:26
scood

скрипт выполнил, карантин выслал
19.01.2009, 15:38
Bratez

Ого, аж 19 мб! Там архив какой-то попал при сканировании, он не нужен. Интересует только [B]F:\WINDOWS\system32\bkoold.dll[/B]. Пришлите из карантина только его.
19.01.2009, 15:42
scood

выслал запрошенный карантин. кстати проблема осталась - процес подолжает сканировать сеть
19.01.2009, 15:53
Bratez

bkoold.dll - [B]Net-Worm.Win32.Kido.ih[/B]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\WINDOWS\system32\bkoold.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
19.01.2009, 17:09
scood

Вложений: 3

вот новые логи
19.01.2009, 17:27
Bratez

В логах чисто. Проблема решена?

P.S. Обратите внимание:
[QUOTE][B]F:\motoZ6\REFLASH_GFMOD_STABLE_2_8.rar[/B]/{RAR}/PV4FCrH.exe >>> подозрение на Trojan.Win32.Buzus.adpv ( 0999C605 08574F3A 001B105E 002E23FD 76288)
[B]F:\motoZ6\zMod_0.7.7.rar[/B]/{RAR}/wPuNQ04.exe >>> подозрение на Trojan.Win32.Buzus.adpv ( 0999C605 08574F3A 001B105E 002E23FD 76288)[/QUOTE]
Подозрения подтвердились, удалите эти архивы.
19.01.2009, 18:06
scood

да спасибо, проблема решена
22.02.2009, 10:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\motoz6\\reflash_gfmod_stable_2_8.rar - [B]Trojan.Win32.Agent.afqq[/B] (DrWEB: archive: Dialer.Papusu.2)[*] f:\\motoz6\\zmod_0.7.7.rar - [B]Trojan.Win32.Agent.afqq[/B] (DrWEB: archive: Dialer.Papusu.2)[*] f:\\windows\\system32\\bkoold.dll - [B]Net-Worm.Win32.Kido.ih[/B] (DrWEB: Trojan.Siggen.2003)[/LIST][/LIST]