Показано с 1 по 14 из 14.

Непонятный исходящий трафик от svchost.exe (заявка № 26183)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58

    Question Непонятный исходящий трафик от svchost.exe

    Стал наблюдаться непонятный исходящий трафик от svchost.exe на
    сайт kukuruza.org (190.183.60.83), порт постоянно меняется.
    Это выявлено Outpost Firewall.

    Также появились события в журнале системы вида:

    Тип события: Ошибка
    Источник события: DCOM
    Категория события: Отсутствует
    Код события: 10016
    Дата: 09.07.2008
    Время: 18:51:03
    Пользователь: NT AUTHORITY\NETWORK SERVICE
    Компьютер: ANDHOME
    Описание:
    Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Активация для приложения сервера COM Server с CLSID
    {BA126AD1-2166-11D1-B1D0-00805FC1270E}
    пользователю NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). Это разрешение можно изменить с помощью средства администрирования Component Services.
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Это ошибка про netman. Безопасность исправлять не стал.

    CureIT и Nod32 с новыми базами ничего не находят.
    Как отключить этот исходящий трафик.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    А на самом серваке стоит Симантек антивирус. Его то хоть перед проверкой Нодом заглушили?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\System32\Drivers\Xdj38.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mmwsugtkzir.sys','');
     DeleteFile('D:\WINDOWS\System32\Drivers\Xdj38.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Xdj38');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Зайдите пожалуйста в AVZ - Сервис - Модули пространства ядра и снимите дамп (там есть нужная кнопка) с модулей со следующими именами:
    "_"
    ".sys"
    Дампы будут сохранены в папке DMP, которая будет в папке AVZ.
    Дампы заархивируйте в архив с паролем virus и пришлите вместе с карантином (о карантине см. приложение №3 правил) (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26183 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от PavelA Посмотреть сообщение
    А на самом серваке стоит Симантек антивирус. Его то хоть перед проверкой Нодом заглушили?
    Симантек антивируса на серваке нет. Только Ghost.
    Если что-то осталось, то только после деинсталяции.

  6. #5
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от kps Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\System32\Drivers\Xdj38.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mmwsugtkzir.sys','');
     DeleteFile('D:\WINDOWS\System32\Drivers\Xdj38.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Xdj38');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Зайдите пожалуйста в AVZ - Сервис - Модули пространства ядра и снимите дамп (там есть нужная кнопка) с модулей со следующими именами:
    "_"
    ".sys"
    Дампы будут сохранены в папке DMP, которая будет в папке AVZ.
    Дампы заархивируйте в архив с паролем virus и пришлите вместе с карантином (о карантине см. приложение №3 правил) (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26183 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Готово. Дамп отослал. Логи здесь.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Дамп получил. Нужен еще карантин после скрипта (см. приложение №3 правил). Загружать его надо туда же.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от kps Посмотреть сообщение
    Дамп получил. Нужен еще карантин после скрипта (см. приложение №3 правил). Загружать его надо туда же.
    Готово. Отправил.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\drivers\mmwsugtkzir.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('txzrxrbwouhg');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог по пункту 8 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от kps Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\drivers\mmwsugtkzir.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('txzrxrbwouhg');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новый лог по пункту 8 правил.
    Готово.
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В сервисах посмотри: от Симантека болтается 6 служб. Некоторые точно от антивируса. Их лучше убрать, или просто заглушить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от PavelA Посмотреть сообщение
    В сервисах посмотри: от Симантека болтается 6 служб. Некоторые точно от антивируса. Их лучше убрать, или просто заглушить.
    Убрал весь Симантек и почистил реестр.
    А Ghost потом снова поставлю.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Больше в логах подозрительного не вижу. Какие-то проблемы остались?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от kps Посмотреть сообщение
    Больше в логах подозрительного не вижу. Какие-то проблемы остались?
    Ночь прошла спокойно. Наблюдаю дальше.
    Непонятный трафик прекратился. Ошибка DCOM осталась.
    Как убрать ее я знаю, но связана она с трояном или нет.
    Как определить ?

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) AndBel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost генерирует исходящий трафик
      От Odhako в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.01.2010, 12:59
    2. Непонятный трафик SVCHOST
      От Dr.Gyger в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.04.2009, 06:24
    3. Исходящий трафик по 80 порту от svchost
      От regButch в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.10.2008, 16:59
    4. Непонятный исходящий трафик
      От Dr. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.10.2008, 11:58
    5. Исходящий трафик и маскировка svchost.exe
      От Commilfo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.10.2007, 09:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00150 seconds with 20 queries