Показано с 1 по 16 из 16.

Перманентная попытка доступа svchost на 70.84.186.66 плюс генерирование набора слов "test" (заявка № 15633)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37

    Thumbs up Перманентная попытка доступа svchost на 70.84.186.66 плюс генерирование набора слов "test"

    Система защищена Outpost Firewall, регулярно чистится NOD32 и Ad-Aware SE.
    Дня четыре назад заметил значительный исходящий трафик. Просканировал NOD-ом. Был идентифицирован троян Obfuscated. Успокоился.
    Через два дня заметил тот же трафик.
    Провёл "массированную" чистку. Снова тот же Obfuscated, хотя и в другой папке. Кроме того выявил sysdrv5, который вычистил скриптом с этого сайта.
    Просмотрел журнал Outpost-а. Выявил непонятный мне доступ svchost'а и закрыл его. После этого стал наблюдать постоянную попытку доступа svchost на адрес 70.84.186.66.
    И в завершение всего произошло нечто неописуемое. Можете считать меня параноиком, но я трижды наблюдал, как мой компьютер начинает произвольно набирать непрерывную последовательность слов "test", словно кто-то сидит рядом со мной за клавиатурой.


    В настоящий момент компьютер отцепил от сети физически; проверка NOD32, AVZ, CureIt, Ad-Aware никаких результатов не даёт. Ничего не находится. Тем не менее Outpost регулярно фиксирует попытку доступа svchost то на адрес 70.84.186.66, то на getlost.hk (что вообще одно и то же).

    Сам я хоть и хай, но только юзер. Вся надежда на вас.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1. не надо пользоваться чужими скриптами.
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('C:\WINDOWS\SYSTEM32\ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\ddeml32.dll','');
    
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15633

    3.По поводу магического слова "тест", то авз в этот момент работал скорее всего Это стaндaртнaя фича AVZ ,ловля кейлогеров . Проявлеться с пунтосвитчем часто, так как в каком то роде это то же кейлогер, правда полезный
    4.напишите в теме , когда сделаете.

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Скрипт выполнен. Карантин выслан.
    Спасибо за быстрый ответ.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Поздравляю гадость ( свежая ) с подделанной подписью майкрософта
    http://virusinfo.info/showpost.php?p...&postcount=117

    1.Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
    DeleteFile('C:\WINDOWS\SYSTEM32\ddeml32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    2.
    ставьте avzpm в avz , делайте новые логи.
    Последний раз редактировалось drongo; 25.12.2007 в 01:32.

  6. #5
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    С чем Это Вы меня поздравляете, интересно? :-) С тем, что я из-за этой гадости не сплю :-)
    Ну, если я кому-то помог в деле поиска гадостей, тогда всегда пожалуйста :-)
    Последний раз редактировалось OldCat; 25.12.2007 в 01:31. Причина: Добавлено

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Скрипт выполнил. avzpm поставил. Делаю логи

  9. #8
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Инструкции выполнены.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Утром попробовал выйти в сеть. Похоже, попытки посторонних соединений прекратились уже.
    Мужики, ну вы таааакое полезное и доброе дело делаете... Нет слов. СПАСИБО!

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O20 - Winlogon Notify: ddeml32 - ddeml32.dll (file missing)
    O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
    повторите лог HijackThis

  12. #11
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Сделано. Лог HijackThis прилагаю.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Так как? Моя тема закончена?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Что из этого не нужно?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  15. #14
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    Казань
    Сообщений
    14
    Вес репутации
    37
    Это домашний комп. Используется только для работы с фотографиями.
    Отключил всё кроме:

    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

    Но я просто не знаю, зачем нужны и можно ли в моём случае отключить это:
    - TermService (Службы терминалов)
    - SSDPSRV (Служба обнаружения SSDP)
    - административный доступ к локальным дискам (C$, D$ ...)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    SSDP и административный доступ к дискам можно запросто отключить. Службы терминалов - если не используете инфракрасный порт и вас не смущает пропадание имён пользователей в диспетчере задач.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ddeml32.dll - Trojan.Win32.Agent.dog (DrWEB: Trojan.DownLoader.56887)


  • Уважаемый(ая) OldCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 08.08.2012, 19:05
    2. Ответов: 1
      Последнее сообщение: 22.09.2010, 01:10
    3. Ответов: 10
      Последнее сообщение: 06.01.2010, 10:49
    4. Ответов: 8
      Последнее сообщение: 20.12.2009, 21:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00046 seconds with 17 queries