Показано с 1 по 20 из 20.

Появление подозрительной сетевой активности. (заявка № 14045)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38

    Thumbs up Появление подозрительной сетевой активности.

    Проблема появилась околомесяца назад. Время от времени комп начинает вести себя странно. Обычно это проявляется в такой цепочке событий:
    1) Вылетает с ошибкой приложение setpoint.exe (это прога, имеющая отношение к ПО Logitech SetPoint для оптимальной работы беспроводного набора мышь-клава), иногда вслед за ним вылетают с ошибкой еще некоторые программы, например, Total Commander, Apex DC++ (P2P клиент для сетей DC++)
    2) Вслед за этим, или одновременно, или даже на несколько секунд ранее Аутпост (режим обучения) засекает необычную сетевую активность - несколько из работающих программ - причем всегда один и тот же набор, включающий какие-то 2 неровских екзешника nmindexstoresvr.exe и nmbgmonitor.exe, исполняемый файл проги Хамелеон Клок chamclock.exe, &RQ.exe (ICQ-совместимый клиент) (возможно, список неполный) начинают ломиться по протоколу TCP на порт 80 на веб-адреса с экзотическими именами -
    iw389t3q.com
    fcvmy6au.com
    k6tv.com
    а также на www.irfanview.com, 209.133.10.2,
    причем ломятся по очереди на один адрес, потом по очереди на другой и так далее. Неужели может быть такое, что какое-то другое приложение лезет в инет "чужими руками"
    Прилагаю логи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
     DeleteFile('C:\WINDOWS\system32\msindeo.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Пофиксите в HijackThis (если останется):
    Код:
    O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll
    O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll
    Повторите логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    1. Выполните скрипт, карантин по правилам:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\SystemRoot\System32\Drivers\a0tj1h68.SYS','');
     BC_ImportAll;
    RebootWindows(true);
    end.
    Последний раз редактировалось Alex_Goodwin; 10.11.2007 в 14:39. Причина: Опоздал

  5. #4
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    Bratez,
    Ваш скрипт вылетел с ошибкой, комп не перезагрузился, но файл в карантин добавился
    строчки пофиксил, они были.
    Alex_Goodwin,
    Ваш скрипт выполнился без ошибок, комп перезагрузился, но файл a0tj1h68.SYS в карантин не добавился, и, кстати, я его на компе не нашел (утилитой поиска Windows). Карантит с индео выслал. Логи сделать сразу, или я сделал что-то не так и мне повторить какой-то скрипт?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте логи, посмотрим что получилось.
    I am not young enough to know everything...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    А msindeo.dll свеженькое - Trojan-Spy.Win32.Agent.rb (Ikarus)

  8. #7
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    вот повторные логи
    А что - этот троян может вот так вот управлять другими прогами и такие симптомы давать?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего подозрительного не видно.
    Проблема уже не проявляется?
    Посмотрите, что из этого не нужно - отключим:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    Проблема появлялась не каждый день. Так что пройдет пару деньков - станет понятно, напишу об этом обязательно.
    В рунете гугл нашел только одно более-менее пристойное описание этого виря, и там сказано, что он может пересылать конфиденциальную инфу вроде паролей куда-то в инет. Но там не написано, как он это делает - отлавливая пароли из кукисов и реестра, или отлавливая их, как кейлоггер. Не можете подсказать? А то мне нужно решить, насколько в опасности мои бабки на ВебМани и на моих аккаунтах в нескольких покер-румах, нужно ли срочно менять пароли доступа, пароли на почтовые ящики и т.д. Разочаровало также, что NOD32 у меня эту заразу даже как подозрительную не признал.
    Мля, это столько дыр у меня в компе? Одни только названия этих служб выглядят опасно . Подозреваю, что ни одна из них мне не нужна, правда, я не знаю, что такое потенциально опасная служба SSDPSRV (Служба обнаружения SSDP).

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Это служба обнаружения UPnP-устройств в домашней сети. Раз Вы даже не знаете, что это - думаю она Вам не нужна
    Этот скрипт отключит все указанные выше службы:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    За скрипт спасибо, а вручную нельзя эти службы поотрубать или каким-нибудь XPTweaker? А то я хотел бы и на другой системе отрубить эту муть тоже, а в написании скриптов я не силен.
    И, кстати, где все же инфу о злодеяниях этого виря найти?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Погуглил...
    Trojan-Spy.Win32.Agent.rb - программа-шпион, предназначенная для кражи конфиденциальной информации. Сохраняет в создаваемый лог-файл логины и пароли вводимые пользователем и отправляет эту информацию злоумышленнику.
    Данный троян – представитель семейства, к которому также относятся Trojan-Spy.Win32.Agent.o и Trojan-Spy.Win32.Agent.fa. Которые используют схожую технологию заражения.
    Те зловреды, которые относятся к его семейству, "отслеживают открытые окна Internet Explorer и сохраняют информацию с открываемых сайтов, а также клавиатурный ввод пользователя" (кейлоггер).

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    троянская программа Trojan-Spy.Win32.Goldun.sv по классификации ЛК
    Вот парочка описаний троянов того же семейства:
    http://www.viruslist.com/ru/viruses/...virusid=135929
    http://www.viruslist.com/ru/viruses/...rusid=21780119
    http://www.viruslist.com/ru/viruses/...virusid=109357
    Вообщем, меняйте пароли.

  15. #14
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    Похоже, что проблема больше не повторяется, спасибо!
    Только, как я понял, мой NOD32 так и не распознает эту заразу, как же избежать ее попадания вновь? Мож какой-то антишпион есть вроде AdAware, чтоб в памяти висел, как антивирь? Просто я не пойму, троянов антивири хуже что ли ловят, чем специальные антивирусные проги?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Просто я не пойму, троянов антивири хуже что ли ловят, чем специальные антивирусные проги?
    нет не лучше , а намного хуже ...
    а то что ваш антивирус не распознает .... идеальной защиты не существует ....

  17. #16
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    нет не лучше , а намного хуже ...
    а то что ваш антивирус не распознает .... идеальной защиты не существует ....
    Прошу прощения, я не так выразился, и теперь сам не пойму, что Вы имели в виду
    Я хотел спросить:
    я не пойму, троянов специальные антитроянские проги вроде Troyan remover лучше что ли ловят, чем антивирусы?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    нет не лучше ...

  19. #18
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    38
    Не подскажете, в моих старых логах ничего не упоминалось о загадочном файле aumjbkga.sys ? Возможно, его удалил DrWeb CureIt или AVZ, ибо у меня на компе такого файла нет. Но когда я пробовал переустановить Windows обновлением, выходит ошибка - дескать, не удается скопировать файл aumjbkga.sys с CD. Поиск в гугле по названию этого файла дает 0 результатов, поэтому не верится, что это какой-нибуть системный файл, но в реестре есть несколько упоминаний о сервисе aumjbkga .
    PS переставлять винду хотел из-за появления некоторых глюков после внезапного отключения электроэнергии, это произошло как назло буквально через день после лечения. Комп вообще не загружался, видимо, полетела файловая система, ибо удалось восстановить через консоль восстановления командой
    chkdsk c: /R
    но полетели некоторые элементы оформления в голубой цветовой теме. Теперь я не знаю, что это за глючное требование этого файла - то ли следы в реестре от бывших вирусов, то ли следы повреждения реестра при отключении электричества

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    aumjbkga.sys - драйвер от Алкоголя 120%, он создается каждый раз со случайным именем a???????.sys.
    I am not young enough to know everything...

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msindeo.dll - Trojan-Spy.Win32.Goldun.sv (DrWEB: Trojan.PWS.GoldSpy)


  • Уважаемый(ая) TRANCLUGATOR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. сообщение о подозрительной активности (заявка №108449)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 31.08.2011, 02:01
    2. Ответов: 2
      Последнее сообщение: 18.05.2011, 19:54
    3. Ответов: 7
      Последнее сообщение: 13.04.2010, 20:00
    4. Outpost в сетевой активности показывает n/a
      От kLen в разделе Межсетевые экраны (firewall)
      Ответов: 17
      Последнее сообщение: 01.04.2009, 00:12
    5. Остатки вирусной активности
      От M@xWell в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.10.2007, 18:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00587 seconds with 17 queries