Показано с 1 по 13 из 13.

Система открывает очень много портов (заявка № 18960)

  1. #1
    Junior Member Репутация
    Регистрация
    30.01.2007
    Сообщений
    17
    Вес репутации
    63

    Thumbs up Система открывает очень много портов

    Здравствуйте.

    2 дня назад столкнулся с проблемой:
    подойдя утром к компьютеру я обнаружил, что пк не видит сети. Firewall показывал, что системой процессом было открыто около 1200 портов. После перезагрузки пк увидел сеть, но Firewall дал запрос на создание правила для системного процесса. Вот это правило:
    Где протокол TCP
    и направление Исходящее
    и удалённый адрес localhost (127.0.0.1)
    и удалённый порт 19780
    Разрешать
    После разрешения данного правила Firewall фиксирует, что с каждым открытым сайтом или обновлённой страницей увеличивается количество соединений вида:
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1133

    Process Explorer показал, что у каждого соединения "Thread Stack" вида:
    afw.sys+0xcad2
    ntkrnlpa.exe+0x170ef
    ntkrnlpa.exe+0x6d17d
    ntkrnlpa.exe+0x2fb5a
    ntkrnlpa.exe!MmProbeAndLockPages
    ntkrnlpa.exe!ExWindowStationObjectType+0x100
    Сами сайты при этом грузятся очень медленно, не открываются полностью или вообще не открываются.

    Согласно правилам, я выполнил полную проверку антивирусом KAV7 и
    утилитой от DrWeb - CureIT!.
    После этого я запустил AVZ "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", но, перед этим я забыл отключить восстановление системы. Я остановил выполнение скрипта и отключил восстановление системы. Но, как мне показалось, AVZ уже успел что-то поместить в карантин. После отключения системы я запустил AVZ "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".
    После этого, согласно правилам, я перезагрузил компьютер. Автоматически запустились антивирус и firewall. Но, при попытке повторного отключения антивируса, загорался синий экран с каким-то кодом и система перезагружалась. Это повторилось несколько раз. Я выполнил пункты 10-13 с включёнными антивирусом и firewall. После этого я ещё 2 раза попробовал отключить антивирус:
    первый раз, сразу после проверок AVZ и HiJackThis, появился синий экран с кодом и пк перезагрузился;
    сразу после перезагрузки антивирус отключился корректно и я повторно выполнил пункты 10-13.

    Логи последних проверок прикреплены к теме.

    Я использую: Windows XP+SP2, Антивирус Касперского 7.0.1.325, Outpost Firewall Pro 6.0.2225
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Illustrate\dBpoweramp\GetPopupInfo.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
     QuarantineFile('c:\windows\system32\ctfmon.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
     DeleteFile('C:\autorun.inf');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18960

    2.ProxyServer = 82.114.150.117:8080 - Ваше прокси?

  4. #3
    Junior Member Репутация
    Регистрация
    30.01.2007
    Сообщений
    17
    Вес репутации
    63
    В архив попало всё, что было в карантине AVZ.
    Результат загрузки
    Файл сохранён как 080301_152738_virus_47c9ca4ab9d87.zip
    Размер файла 1491808
    MD5 184596b5b954f6695b695f19ab8d30d7
    2.ProxyServer = 82.114.150.117:8080 - Ваше прокси?
    Нет.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    autorun.inf, ctfmon.exe, fssync.dll, GetPopupInfo.exe, iexplore.exe, miscr3.dll, ntkrnlpa.exe

    Вредоносный код в файлах не обнаружен.

    Пофиксьте в HiJackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.114.150.117:8080
    Больше плохого не вижу...

  6. #5
    Junior Member Репутация
    Регистрация
    30.01.2007
    Сообщений
    17
    Вес репутации
    63
    К сожалению проблема осталась
    <SYSTEM> ... (открыто 34 соединений) ... ... ...
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1039
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1041
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1045
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1049
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1055
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 KPOP
    <SYSTEM> localhost:loopback *Разрешать Исходящее TCP на 19780 OUT TCP 19780 1117
    и т.д.
    а если это правило сделать запретным...
    Где протокол TCP
    и направление Исходящее
    и удалённый адрес localhost (127.0.0.1)
    и удалённый порт 19780
    Разрешать
    ...то ни один сайт больше не открывается.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    В AVZ
    Сервис - Открытые порты TCP\UDP

    Сохранить и приложить..

  8. #7
    Junior Member Репутация
    Регистрация
    30.01.2007
    Сообщений
    17
    Вес репутации
    63
    Готово
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    c:\program files\bonjour\mdnsresponder.exe

    Пришлите по правилам

  10. #9
    Junior Member Репутация
    Регистрация
    30.01.2007
    Сообщений
    17
    Вес репутации
    63
    Цитата Сообщение от rubin Посмотреть сообщение
    c:\program files\bonjour\mdnsresponder.exe
    Пришлите по правилам
    Не получилось.
    Я пытался добавить файл в карантин согласно правилам "Как правильно искать и присылать запрошенные файлы?" - http://virusinfo.info/showthread.php?t=4567
    Вот отчёт протокола:
    Поиск файлов по маске *.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    Поиск файлов завершен
    Просмотрено 2, найдено 1
    Файл C:\Program Files\Bonjour\mDNSResponder.exe скопирован в карантин
    Но в меню "Файл" > "Просмотр карантина" есть только одна папка "2008-03-01" в которой нет файла c:\program files\bonjour\mdnsresponder.exe.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Ну запакуйте вручную... с архивом virus.
    На время карантина антивирус выключали?

  12. #11
    Junior Member Репутация
    Регистрация
    30.01.2007
    Сообщений
    17
    Вес репутации
    63
    Цитата Сообщение от rubin Посмотреть сообщение
    На время карантина антивирус выключали?
    Я пробовал с включённым и выключенным антивирусом.

    Файл упаковал вручную с паролем virus и выслал:
    Результат загрузки
    Файл сохранён как 080302_095134_virus_47cacd061daaa.zip
    Размер файла 122784
    MD5 58811efb8b8041e9eda2543b2987c4f1
    Добавлено через 7 часов 35 минут

    Нашёл эту тему - http://virusinfo.info/showthread.php?t=17605&page=3 (и ещё несколько подобных на других сайтах)
    Как я писал ранее:
    Я использую: Windows XP+SP2, Антивирус Касперского 7.0.1.325, Outpost Firewall Pro 6.0.2225
    Оказывается проблема в сборках KAV7 выше 7.0.0.125 - они каким-то образом конфликтуют с Agnitum Outpost Firewall (ище какими-то сетевыми экранами).
    Я вернулся на эту сборку антивируса (KAV7 7.0.0.125) и проблема решилась.

    Не ругайтесь сильно - я искал вирус и не думал, что эту свинью может подкинуть ЛК.

    Большое спасибо за оказанную помощь.

    PS: Если вы успели проверить mDNSResponder.exe, то скажите всё ли в порядке с этим файлом ?
    Последний раз редактировалось Ice; 03.03.2008 в 02:32. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Файл чистый.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 18
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Ice, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Много открытых TCP портов
      От Crow54 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 18:40
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 01:36
    3. Открыто слишком много портов
      От Monolith в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.10.2008, 22:20
    4. Apache и Winroute открывают много портов
      От Bulat в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.12.2006, 14:32
    5. Ответов: 13
      Последнее сообщение: 10.08.2006, 17:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00608 seconds with 20 queries