Перманентная попытка доступа svchost на 70.84.186.66 плюс генерирование набора слов "test"
Система защищена Outpost Firewall, регулярно чистится NOD32 и Ad-Aware SE.
Дня четыре назад заметил значительный исходящий трафик. Просканировал NOD-ом. Был идентифицирован троян Obfuscated. Успокоился.
Через два дня заметил тот же трафик.
Провёл "массированную" чистку. Снова тот же Obfuscated, хотя и в другой папке. Кроме того выявил sysdrv5, который вычистил скриптом с этого сайта.
Просмотрел журнал Outpost-а. Выявил непонятный мне доступ svchost'а и закрыл его. После этого стал наблюдать постоянную попытку доступа svchost на адрес 70.84.186.66.
И в завершение всего произошло нечто неописуемое. Можете считать меня параноиком, но я трижды наблюдал, как мой компьютер начинает произвольно набирать непрерывную последовательность слов "test", словно кто-то сидит рядом со мной за клавиатурой.
В настоящий момент компьютер отцепил от сети физически; проверка NOD32, AVZ, CureIt, Ad-Aware никаких результатов не даёт. Ничего не находится. Тем не менее Outpost регулярно фиксирует попытку доступа svchost то на адрес 70.84.186.66, то на getlost.hk (что вообще одно и то же).
Сам я хоть и хай, но только юзер. Вся надежда на вас.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
3.По поводу магического слова "тест", то авз в этот момент работал скорее всего Это стaндaртнaя фича AVZ ,ловля кейлогеров . Проявлеться с пунтосвитчем часто, так как в каком то роде это то же кейлогер, правда полезный
4.напишите в теме , когда сделаете.
С чем Это Вы меня поздравляете, интересно? :-) С тем, что я из-за этой гадости не сплю :-)
Ну, если я кому-то помог в деле поиска гадостей, тогда всегда пожалуйста :-)
Последний раз редактировалось OldCat; 25.12.2007 в 01:31.
Причина: Добавлено
Утром попробовал выйти в сеть. Похоже, попытки посторонних соединений прекратились уже.
Мужики, ну вы таааакое полезное и доброе дело делаете... Нет слов. СПАСИБО!
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Это домашний комп. Используется только для работы с фотографиями.
Отключил всё кроме:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Но я просто не знаю, зачем нужны и можно ли в моём случае отключить это:
- TermService (Службы терминалов)
- SSDPSRV (Служба обнаружения SSDP)
- административный доступ к локальным дискам (C$, D$ ...)
SSDP и административный доступ к дискам можно запросто отключить. Службы терминалов - если не используете инфракрасный порт и вас не смущает пропадание имён пользователей в диспетчере задач.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: