Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

windows\svchost.exe лезет на 123 порт (заявка № 35345)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38

    Question windows\svchost.exe лезет на 123 порт

    Firewall стал сообщать что C:\windows\svchost.exe лезет на 123 порт на разные IP. Возможно из-за этого на контроллере домена стала выпадать ошибка
    [q]Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.[/q]
    Возможно и на контроллере засела гадость, а может это моя машина его вешает.
    Посмотрел список подозрительных объектов, какая то зараза из папки Temp работает. и svchost.exe слушает 123 порт
    Спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\Temp\sfamcc00001.dll','');
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    вот логи. карантин отправляю
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ничего плохого не вижу ....служба NTP использует для своей работы протокол UDP
    и как раз 123 порт для синхронизации часов ....

  6. #5
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    В сборе информации упоминается 2 таких файла C:\Temp\sfamcc00001.dll
    Причем после перезагрузки они все равно там есть. Странно зачем.

    угу 123 udp это служба времени. Но маниакальным деланием svchost лезет на любой подвирнувшийся ip по этому порту. Раз прям пошел по подряд 10.0.0.12, 10.0.0.13...

    Добавлено через 11 часов 47 минут

    Скачал утилиту от Касперского. проверяю ей. еще часа 3 проверять. Она уже нашла червя Net-Worm.win32.Kido.j в файлах

    c:\windows\system32\aacgmtoz.dll
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\...\fpmmpfml[1].jpg

    жду когда закончит проверку.

    Добавлено через 32 минуты

    в реестре нашел по имени файла aacgmtoz.dll

    Имя службы: seuiej
    Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

    Похоже на вот это http://av-school.ru/news/a-186.html

    В общем все еще ожидаю когда проверка каспером в безопасном режиме закончится.
    Последний раз редактировалось JohnDoe; 09.12.2008 в 11:20. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    C:\WINDOWS\system32\aacgmtoz.dll - вот это поищи через AVZ.
    Наайдется, отправить в карантин и загрузить сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    карантин выслал. Туда добавил еще несколько файлов, которые утилита касперского опознала как трояны. Они лежали в кеше программы HandyCache в интернет хожу только оперой и файрфоксом.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    C:\WINDOWS\system32\aacgmtoz.dll - троян (W32.Downadup по Симантеку). Сейчас скрипт напишу для его удаления.

    Выполнить:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\aacgmtoz.dll' );
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\aacgmtoz.dll');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Сделать новые логи. Кеш HandyCash думаю тоже можно почистить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    Файл уже удалил. Потом сразу же, в безопасном режиме прошел в реестре и удалил все ключи seuiej которые нашел. на всякий случай сделал экспорт. Поставил заплатку WindowsXP-KB921883-x86-RUS. Пока работает.

  11. #10
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    вот последние логи
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Одного а/вируса надо оставить, а так в логах стало чисто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    В смысле а/вируса надо оставить?
    Антивирус? у меня стоит DrWeb как основной, со спайдером. А у Nod32 amon отключен, он для проверки подозрительных файлов. Теперь еще касперская утилита "Klif Mini-Filter" подсадила.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Если Вы их - а/вирусы контролируете, то все хорошо.
    Утилита Касперского должна за собой следы подсчистить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    контролирую.
    Да, каспрерский спрашивал удалить себя с компа, я сказал нет думал попробовать перенести установленую на другую машину без установки. Значит надо подчистить.
    Кстати удивило что касперский нашел трояна в себе же, в папке куда только что установился. Скачивал по ссылке из "правил". Ругнулась на файл
    c:\virus removal tool\is-qph50\startup.exe Trojan-Spy.Win32.KeyLogger.bhg

  16. #15
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    Произошел рецидив. На моем компе svchost.exe уронил сервис файрвола fwsrv.exe. Сразу отключил комп от сети и стал проверять, утилита касперского снова нашла тот же вирус в файле
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\...\<имяфайла>[1].jpg Имя файла другое, не как в прошлый раз. Так же появился новый сервис, с новой dll в качестве параметра. Картинку я отловил, в архив сохранил. Интересно что это за NetworkService и что за кеш эксплорера. Подскажите какая уязвимость используется для проникновения и как этого избежать? Файлик картинки могу выслать, может поймете механизм, вдруг отличается от той dll что высылал ранее?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Логи новые нужны, по ним посмотрим.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    Вот логи.
    Вложения Вложения

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\Drivers\bcftdi.SYS','');
    BC_ImportDeletedList;
    BC_Activate;
    end.
    Прислать карантин, если в него этот файл попадет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    40
    Вес репутации
    38
    Файл в карантин не попал. Мне не очень не нравятся 2 dll
    C:\Temp\sfamcc00001.dll
    C:\Temp\sfareca00001.dll
    я их в безопасном режиме удалял. Все равно появляюся. В свойствах написано Приложение "Сервер регистрации, (C) Microsoft" это я так понимаю для всех dll. Но левые они какие то, вкладки версия нету.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от JohnDoe Посмотреть сообщение
    Файл в карантин не попал. Мне не очень не нравятся 2 dll
    C:\Temp\sfamcc00001.dll
    C:\Temp\sfareca00001.dll
    я их в безопасном режиме удалял. Все равно появляюся. В свойствах написано Приложение "Сервер регистрации, (C) Microsoft" это я так понимаю для всех dll. Но левые они какие то, вкладки версия нету.
    Библиотеку я эту на ВТ проверил. Все 38 а/вирусов сказали чистые.
    Попробуй провериться MBAM ( http://malwarebytes.gt500.org/mbam-setup.exe ) Лог получившийся прикрепи сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) JohnDoe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. svchost.exe постоянно лезет в инет
      От Mishgun в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2009, 21:39
    2. svchost лезет в интернет
      От chegermek в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 09.09.2009, 11:17
    3. кто-то лезет через 25 порт
      От taramaz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.08.2009, 13:58
    4. svchost периодически лезет на 92.122.ХХХ.ХХ
      От Gladman в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.05.2009, 20:18
    5. svchost.exe постоянно лезет в интернет.
      От igor2999 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00553 seconds with 17 queries