Стал наблюдаться непонятный исходящий трафик от svchost.exe на
сайт kukuruza.org (190.183.60.83), порт постоянно меняется.
Это выявлено Outpost Firewall.
Также появились события в журнале системы вида:
Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10016
Дата: 09.07.2008
Время: 18:51:03
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: ANDHOME
Описание:
Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Активация для приложения сервера COM Server с CLSID
{BA126AD1-2166-11D1-B1D0-00805FC1270E}
пользователю NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). Это разрешение можно изменить с помощью средства администрирования Component Services.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Это ошибка про netman. Безопасность исправлять не стал.
CureIT и Nod32 с новыми базами ничего не находят.
Как отключить этот исходящий трафик.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Зайдите пожалуйста в AVZ - Сервис - Модули пространства ядра и снимите дамп (там есть нужная кнопка) с модулей со следующими именами:
"_"
".sys"
Дампы будут сохранены в папке DMP, которая будет в папке AVZ.
Дампы заархивируйте в архив с паролем virus и пришлите вместе с карантином (о карантине см. приложение №3 правил) (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26183 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Зайдите пожалуйста в AVZ - Сервис - Модули пространства ядра и снимите дамп (там есть нужная кнопка) с модулей со следующими именами:
"_"
".sys"
Дампы будут сохранены в папке DMP, которая будет в папке AVZ.
Дампы заархивируйте в архив с паролем virus и пришлите вместе с карантином (о карантине см. приложение №3 правил) (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26183 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Больше в логах подозрительного не вижу. Какие-то проблемы остались?
Ночь прошла спокойно. Наблюдаю дальше.
Непонятный трафик прекратился. Ошибка DCOM осталась.
Как убрать ее я знаю, но связана она с трояном или нет.
Как определить ?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: