svchost.exe открывает много соединений на 445 порт [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m]

**adolganin** · 02.10.2020, 21:29

svchost.exe открывает много соединений на 445 порт

virusinfo_syscheck.zip
HiJackThis.log
virusinfo_syscure.zip

Запускалось через RDP, autologger использовать не удалось, он при запуске выдает ошибку о том, что он запущен через RDP

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.10.2020, 21:36

Уважаемый(ая) adolganin, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**adolganin** · 02.10.2020, 22:31

c:\windows\mssecsvc.exe - вот эту штуку вчера уже с помощью avz удалил. Service pack установил. Но исходящие TCP соединения на множество адресов по 445 порту не прекратились.

**Vvvyg** · 03.10.2020, 08:21

Эти политики ipsec сами создавали? Если нет - пофиксите в Hijackthis:

Код:

O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/06/29) - {8618c34f-d9a0-48a7-a453-cdfe87d3b877} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block

Что за программы в папке E:\www\CurrencyExchange знаете, надеюсь?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**adolganin** · 03.10.2020, 20:39

Политики удалил.

В папке E:\www\CurrencyExchange известная программа. С ней все в порядке.

Скрипт выполнил, вот его результат:

"Поиск критических уязвимостей

Установите новый Internet Explorer

https://windows.microsoft.com/ru-ru/...er/download-ie

[микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Жизненный цикл Microsoft Office 2003 закончился. Используйте современное ПО.

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода

https://www.catalog.update.microsoft...px?q=KB2726929

Для установки этого обновления требуется установить SP3 для Microsoft Office 2003

https://www.microsoft.com/downloads/...2-5e3c1132f206

Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода

https://www.catalog.update.microsoft...px?q=KB2850047

Для установки этого обновления требуется установить SP3 для Microsoft Office 2003

https://www.microsoft.com/downloads/...2-5e3c1132f206

Обнаружено уязвимостей: 4"

Файлы с результатами работы Farbar Recovery Scan Tool во вложении

Процесс, который открывал большое количество tcp соединений нашел через netstat, svchost32. При снятии задачи с этим pid через несколько секунд запускается новая, которая снова пытается открыть соединения. Есть еще 2 процесса, которые работают под svchost32 их тоже снять не получается. Но удалось им сделать suspend через process explorer и 3-й процесс перестал запускаться, tcp соединения перестали открываться.

**adolganin** · 03.10.2020, 20:47

1) политики удалил

2) Программа известная, с ней все в порядке

3) скрипт выполнил, результат во вложении

4) запустил, результат во вложении

процесс, который открывал соединения найти удалось. netstat показывает pid. Убить процесс можно, но запускается новый. Работает под svchost32. Кроме него еще 2 процесса под ним работают. Их тоже можно убить, но тоже сразу же запускаются новые. Удалось через process explorer сделать suspend для них. Сейчас соединения не открываются.

**Vvvyg** · 04.10.2020, 12:10

В соединениях по порту 445 (SMB) для сервера ничего необычного нет. С какими хостами соединение, в локальной сети?

Обновления по ссылкам из avz_log.txt стоит установить.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**CyberHelper** · 04.10.2020, 12:20

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\windows\mssecsvc.exe - Trojan-Ransom.Win32.Wanna.m ( B=
  itDefender: Gen:Variant.Symmi.53623, AVAST4: Sf:WNCryLdr-A [Trj] )
2. c:\windows\tasksche.exe - Trojan-Ransom.Win32.Wanna.zbu (=
  BitDefender: Gen:Trojan.Heur.RP.wtW@aGEmS3di, AVAST4: Win32:WanaCry-A=
  [Trj] )

svchost.exe открывает много соединений на 445 порт [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m] (заявка № 225711)

Опции темы