Не обнаружить троян

Здравствуйте.
Пару недель назад Outpost после установки dial-up соединения стал постоянно сигналить о том, что services.exe запрашивает входящее соединение через UDP:1026 на мой сеансовый IP (DHCP). За время приема почты (10 - 15 минут) кнопочку "Блокировать однократно" приходится нажимать раз 20 - 30. После каждой блокировки внешние IP меняются, но всегда китайские:
213.158.11.94
221.130.92.72
202.97.238.203
58.19.183.42
и т. д.
Из окна сетвой активности Outpost видно только, что services.exe возбуждается каким-то n/a процессом.
Других вредоносных эффектов пока не заметил. Хотя Outpost пару раз кричал, что ему пытаются изменить файлы, да The Bat иногда сообщает, что информация о компоненте SSCE5132.dll изменилась (на всякий случай - блокирую до перезапуска).
Пробовал AVZ, Kaspersky Internet Security 6, Dr. Web Cure It - ничего не находят.
При соединении из внутренней сети ADSL провайдера (через провайдерский прокси) эффекта не возникает, но коннект время от времени ненадолго подвисает (как я понимаю, присходит та же самая блокировка, но на провайдерском файере).
Буду признателен за любую помощь. Ибо достал уже :)

Загрузите карантин по правилам, тaм должен быть один подозрительный файл. Возможно ложняк, но всё же :)


Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )

[code]
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
[/code]

Загружено, пофиксено. SolidPDF действительно ломился в сеть. Пока я его не снес из-за этого.

Фикс не помог >:( Все продолжается плюс Windows Explorer опять пытался изменить файлы OP.

Ну может windows explorer немного патченный . Запакуйте его и пришлите как и предыдущий файл.

Не могу добавить его в карантин, AVZ сообщает
"Ошибка карантина файла "explorer.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка".
Сжать winrar'ом с паролем?

конечно , только выбирать в винраре формат *zip . Лабораторя касперского *rar не любит :(

Загружено. Вы кое-что касперским ребятам отправляете?

[quote=Rhino;105677]Загружено. Вы кое-что касперским ребятам отправляете?[/quote]
у нас с ними тесное сотрудничество, автоматом им идёт , то что пользователи нам загружают.

Тогда приветы Машевскому. Мы с ними тоже немного сотрудничаем, у них с математиками туговато :)

Мой троянчик зловредный оказался? Не дается?

[code]
Здраствуйте!

Файл чистый.

С уважением,
Павел Зеленский
Вирусный аналитик

ЗАО "Лаборатория Касперского"
Тел/Факс: +7 (495) 797-8700
E-mail: [email protected]
Internet: http://www.kaspersky.com, http://www.viruslist.com


> Attachment: 070424_232315_explorer_462e592347b75.zip

> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9267 070424_232315_explorer_462e592347b75.zip
>
[/code]

Быть может вот эти древние вещи :
[code]
C:\WINNT\system32\plugincpl131_16.cpl
C:\WINNT\system32\Cult3D\IECult.dll
[/code]
способствуют этому , для чистоты эксперимента их удалить. Всё равно они старинные :)

Что же дальше делать? Троян то живет. Очень уж не хочется праздники тратить на переодевание рабочей станции.

повторите пожалуйста логи AVZ установив перед этим драйвер расширеного мониторинга AVZPM..

[quote=Rhino;105622]Пару недель назад Outpost после установки dial-up соединения стал постоянно сигналить о том, что services.exe запрашивает входящее соединение через UDP:1026 на мой сеансовый IP (DHCP)...
Из окна сетвой активности Outpost видно только, что services.exe возбуждается каким-то n/a процессом.[/quote] А почему вы решили, что это троян? Соединение - входящее, т.е. не от вас что-то ломится, а к вам. Отсюда и процесс [URL="http://www.agnitum.ru/support/kb/article.php?id=1000141&lang=ru"]n/a[/URL] - правилами для приложений данная активность не описывается, глобальные правила не настроены, Outpost в режиме обучения - вот и спрашивает каждый раз у вас, что с этим входящим соединением делать. Вам, скорее, сюда - [URL]http://forum.five.mhost.ru/kb2/index.php/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D1%8E_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D0%B8_Outpost[/URL]
, проверять настройку глобальных правил. А в логах, действительно, ничего подозрительного.

[QUOTE]повторите пожалуйста логи AVZ установив перед этим драйвер расширеного мониторинга AVZPM..[/QUOTE]
Так я вроде предыдущие тоже под монитором делал. Повторяю на всякий случай, + при установленном соединении и запущенном браузере.

[QUOTE]Быть может вот эти древние вещи :[/QUOTE]
Удалил для порядка. Не помогает

[QUOTE]А почему вы решили, что это троян?[/QUOTE]
По косвенным.
1. До возникновения эффектов ОР (после его запуска) показывал 18 открытых портов перед установлением соединения и столько же - после, перед запуском первого интернет приложения.
После возникновения эффектов ОР (после его запуска) показывет 20 открытых портов перед установлением соединения и 21 - после, перед запуском первого интернет приложения (открывается дополнительно порт 500:UDP для lsass.exe, чего раньше вроде как не было) .
2. При работе через двух очень разных dial-up провайдеров временнЫе характеристики запросов входящих соединений (интервал до первого запроса и последующая частота) практически одинаковы. Подумал, что вряд ли такое может быть при атаке извне. А вот если троян изнутри сообщает, что он в сети и готов к работе - вполне.
3. Какая-то дрянь по системе все-таки ползает: то иконки у OP или TheBat'а поменяются, то винда про якобы 39 поврежденных системных файлов кричит и требует ОК нажать для реставрации.
Может и паранойя. Специалисты признают - соглашусь.
[QUOTE] Вам, скорее, сюда - [url]http://forum.five.mhost.ru/kb2/index...%D0%B8_Outpost[/url]
, проверять настройку глобальных правил.[/QUOTE]
Глобальные правила OP настраивал именно по этому руководству. Хотя отличия от дефолтных настроек совсем незначительные: отключены GRE Protocol и PPTP control connection. Ну и по мелочи: разлокировал сверхдлинные DNS-запросы и запретил находить новые настройки сети автоматически. Если еще что присоветуете - буду благодарен.

[quote=Rhino;105934]По косвенным.
1. До возникновения эффектов ОР (после его запуска) показывал 18 открытых портов перед установлением соединения и столько же - после, перед запуском первого интернет приложения.
После возникновения эффектов ОР (после его запуска) показывет 20 открытых портов перед установлением соединения и 21 - после, перед запуском первого интернет приложения (открывается дополнительно порт 500:UDP для lsass.exe, чего раньше вроде как не было) .
2. При работе через двух очень разных dial-up провайдеров временнЫе характеристики запросов входящих соединений (интервал до первого запроса и последующая частота) практически одинаковы. Подумал, что вряд ли такое может быть при атаке извне. А вот если троян изнутри сообщает, что он в сети и готов к работе - вполне.
3. Какая-то дрянь по системе все-таки ползает: то иконки у OP или TheBat'а поменяются, то винда про якобы 39 поврежденных системных файлов кричит и требует ОК нажать для реставрации.
Может и паранойя. Специалисты признают - соглашусь.

Глобальные правила OP настраивал именно по этому руководству. Хотя отличия от дефолтных настроек совсем незначительные: отключены GRE Protocol и PPTP control connection. Ну и по мелочи: разлокировал сверхдлинные DNS-запросы и запретил находить новые настройки сети автоматически. Если еще что присоветуете - буду благодарен.[/quote]

К сожалению, на вашей ОС невозможно установить, какое приложение слушает порт. Однако я практически уверен, что это элементарный эксплойт, который долбится к вам на машину. Пункт 2 вашего ответа значения не имеет: если мы действительно имеем дело с эксплойтом, то ему глубоко все равно, какое у вас подключение - может, его так настроили, начинать долбить машину через n минут после ее появления в сети. Я не вижу никаких причин для беспокойства, хотя вам, конечно же, нисколько не повредила бы установка Windows XP SP2, если позволяет железо.

[QUOTE]я практически уверен, что это элементарный эксплойт, который долбится к вам на машину[/QUOTE]
Вердикт принят. Поскольку компетентность вашей команды широко известна в узких кругах :). Приношу извинения всем, кого зазря оторвал от дел.
[QUOTE]хотя вам, конечно же, нисколько не повредила бы установка Windows XP SP2, если позволяет железо.[/QUOTE] Спасибо. Но этот 300MHz прадедушка и win2k не очень тянет. KIS 6.0 его анализировал 19 часов. А две действительно рабочие станции отделены от глобальной сети известным Вам наилучшим файрволлом.

[QUOTE]А две действительно рабочие станции отделены от глобальной сети известным Вам наилучшим файрволлом.[/QUOTE]Outpost что ли?

[QUOTE]Outpost что ли?[/QUOTE]
ОМВ - один метр воздуха :)

[quote=Rhino;106210]ОМВ - один метр воздуха :)[/quote] [offtop] Браво! Прекрасная защита:) Тут, главное, уберечься от страшного сетевого червя - уборщицы с мокрой тряпкой на длинной швабре. Даже такая продуманная защита, как у вас, перед ней пасует часто - сам проверял :'-( [/offtop]

[QUOTE]Тут, главное, уберечься от страшного сетевого червя - уборщицы с мокрой тряпкой на длинной швабре.[/QUOTE]
[offtop]2001 год. Я - начальник отдела АСУ в средней руки торговой фирме. Руководство (ген и фин - бывшие комсомольские вожаки, на столах - перекидной календарь, блокнот с ручкой, телефон и все, компа вообще в кабинете нет) берут в головной офис по солидной рекомендации уборщицу. Бабушка - божий одуванчик, и свое дело знает, но. На глубоко подсознательном уровне, видимо, образовавшееся в глубоком детстве, у нее живет глубокое убеждение, что всякий электроприбор должОн быть выключен. После первых случАев она получила приказ начинать уборку только когда персонал обедает или заканчивает работу. А отдел АСУ когда заканчивает (не говоря уже про "обедает")? Правильно. Иногда даже вообще не заканчивает. Поэтому бабушка терроризировала отдел в присутствии личного состава месяца три. Разговоры-уговоры, улещивания-умащивания, разъяснения-объяснения приводили только к тому, что вид у бабушки при произнесении слов "Ой! Ребятки! Я кажется опять..." становился совсем-совсем виноватый. Но не более того. Спас коллетив случай. Однажды, после особенно затянувшейся тяпницы, админ забыл запереть серверную. А бабушка именно по понедельникам убирала у нас с утра, ко взаимному удовлетворению утилизируя оставшуюся после тяпницы посуду. Так что когда первый из нас явился в тот светлый понедельник часам к 11 на работу (головной офис начинал в 8.30), руководство уже было разогрето до надлежащей температуры. И мы свободно могли решать, каким образом использовать ситуацию: для замены "хорошо себя зарекомендовавших за 8 лет работы"((с) - ген, фин) упсов или для проведения среди бабушки воспитательной работы силами "старой комсомольской гвардии". За упсы оказался я один (все-таки, имхо, молодежь бывает излишне жестока иногда) и, мысленно попросив прощения у бабушки, отправился к руководству. Сеанс психотерапии проходил в моем присутствии. И я должен отметить, что по методике, по силе и по использовавшейся терминологии, он мало чем уступал сеансу генеральской психотерапии, примененному ко мне десятью годами ранее на полигоне Капустин Яр, когда наш софт лег сам и положил систему через 10 секунд после начала испытательного пуска. Но, в отличие от моего случая, эффективность данного сеанса была налицо: после него бабушка стала уходить с работы, оставляя не выключенным пылесос. Такая вот грустная история из жизни зловредов.[/offtop]
Сорри за оффтоп и еще раз спасибо всем помогавшим.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]