Аудит отказов зафлужен svchost.exe от NT AUTHORITY

[QUOTE]Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 23.11.2010
Время: 16:48:38
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: OWYN
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: -
Путь: V:\WIN\system32\svchost.exe
Код процесса: 1188
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 50893
Разрешено: Нет
Пользователь извещен: Нет

[/QUOTE]что это значит и если это нормально как убрать логгирование тк я хотел поставить аудит на NTFS папку одну и смотреть потом логи, но они уже забиты и заметить что-то нужное будет неправдоподобно сложно.

С системой вроде всё хорошо, AnVir Task Manager ничего плохого не видит, а AVZ как и раньше ругается на непонятные перехваты (по их поводу я писал, но сказали что это тоже нормально)

Добро пожаловать в раздел Помогите (Ваша тема была перемещена). У Вас вирус, выполните [URL="http://virusinfo.info/pravila.html"]правила[/URL].

Логи

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('V:\WIN\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
QuarantineFile('V:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\net_share.bat','');
QuarantineFile('V:\WIN\system32\uninstall.exe','');
QuarantineFile('V:\DOCUME~1\Admin\LOCALS~1\Temp\b.exe','');
QuarantineFile('c:\cssrv\hlsm\hlsm.exe','');
QuarantineFile('V:\WIN\system32\mfnspadv32.dll','');
QuarantineFile('V:\WIN\mfnhks32.dll','');
QuarantineFile('V:\WIN\system32\msxml71.dll','');
DeleteFile('V:\WIN\system32\msxml71.dll');
DeleteFile('V:\DOCUME~1\Admin\LOCALS~1\Temp\b.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

всё прислал:
Файл сохранён как 101123_182709_quarantine_4cebdd4d9565d.zip

Повторите логи

Повторные логи:


п.с. - аудит по прежнему зафлуживается svchost

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]

два часа сканировало :(

вот лог:

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [code]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (PUP.AdvancedPRecovery) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_NAVIGATION_SOUNDS\services.exe (Malware.Trace) -> No action taken.

Зараженные файлы:
C:\cheat\hlapex\hLaPEx.exe (Trojan.Dropper.PGen) -> No action taken.
V:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\427AVW31\eHf7929efbV03005f35002Reac29509102Tbc86b385Q00000000901800F0020000aJ10000601l00193181[1] (Trojan.Dropper) -> No action taken.
V:\Program Files\AVZ\avz4\Infected\2010-11-23\avz00001.dta (Malware.Packer.Gen) -> No action taken.
V:\Program Files\AVZ\avz4\Infected\2010-11-23\avz00002.dta (Malware.Packer.Gen) -> No action taken.
V:\Program Files\Internet Explorer\svcnost.exe (Trojan.Agent) -> No action taken.[/code]

удалил, перезагрузил.

но по прежнему флудит, порты рандомные на каждое событие 40000+ всегда

[QUOTE]Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 23.11.2010
Время: 23:52:42
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: OWYN
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: -
Путь: V:\WIN\system32\svchost.exe
Код процесса: 1200
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 56750
Разрешено: Нет
Пользователь извещен: Нет
[/QUOTE]


новые логи:

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

лог:

v:\win\system32\drivers\tcpip.sys проверьте на virustotal.com

у меня уже очень давно virustotal.com перестал нормально работать, кнопки send ничего не делают ни в фаерфоксе стабильном ни в хроме бете

в нем только количество полуоткрытых соединений изменено, но приложил в архиве с пассом virus на всякий.

Проверьтесь [url]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/url]
Лог работы прикрепите к сообщению

TDSS нашел только daemon tools
лог:

Добавьте svchost.exe в исключения брандмауэра.

Панель управления -> брандмауер стоит значение "Выключен" и при попытке добавления в исключения пишет "не удается добавить в исключения"

нужен ли отчет GMER или нужно ли поставить тип запуска работающей сейчас службы "Брандамауер" с "Авто" на "Отключено"?

[QUOTE]нужно ли поставить тип запуска работающей сейчас службы "Брандамауер" с "Авто" на "Отключено"?[/QUOTE]Поставьте. Посмотрите, что будет с проблемой.