Показано с 1 по 12 из 12.

подозрение на spyware. (заявка № 41739)

  1. #1
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33

    Question подозрение на spyware.

    Приветствую участников форума.

    Я полагаю, что у меня на компе что-то завелось посторонее. Windows Defender, ZoneAlarm, AVG не находят ничего. Проявляется так:

    1. процесс svchost из под учетной записи NetworkService стучится на адреса (редко):
    87.248.203.81:HTTP, 87.248.203.79:HTTP, 217.212.252.72:HTTP, 217.212.252.81:HTTP (и другеие провайдера Akamai), по логам файрвола, последний октет меняется.
    2. при этом один из тредов этого svchost загружает процессор на 15-30% в библиотеке cryptsvc.dll (получено из ProcessExplorer)
    3. тот самый svchost (из под NetworkService) работает почему-то с папкой \Users\sysadm\AppData\LocalLow\Microsoft\CryptnetU rlCache

    Сведения о системе: Vista Business SP1 32Bit. UAC включен, sysadm - учетная запись администратора

    Заранее благодарен за внимание.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    virusinfo_syscure.zip не удаётся получить?

  4. #3
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33
    Подозрительных файлов не обнаружено, лог сканирования прилагается. Максимальные настройки. Сканирование только диска с системой (Users, Program Files, Windows).

    По сравнению с предыдущим сканированием, установлен фаерволл.

    В скрипте, создающем syscure, меня смущает автоматическое лечение / карантин.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    это не лог ...
    вам же написали virusinfo_syscure.zip

  6. #5
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33
    Да, это не результат работы стандартного скрипта. Это протокол сканирования.

    Я не понимаю, что делает данный скрипт при лечении / карантине. Описание на сайте программы не очень подробное. Исходного кода скрипта у меня нет.

    Насколько критично наличие именно результатов работы скрипта? Могу я собрать нужные данные вручную, из интерфейса AVZ, или как-нибудь еще?
    Можно ли запустить скрипт в режиме "только чтение"?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    После 3 стандартного скрипта должен получиться лог virusinfo_syscure.zip, он есть?

  8. #7
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33
    Из стандартных скриптов я запускал только второй. В описании третьего сказано, что он в том числе и лечит файлы. Может я параноик, но сначала хотел бы понять что, а потом лечить.
    Сканирование с максимальными настройками подозрительных файлов не обнаружило (протокол выше). Судя по описанию скрипта, результат должен был бы содержать подозрительные файлы, которых не найдено (в области сканирования, конечно).


    Дополнение к первоначальному описанию:
    В пункте 2. процессор не грузится, если соединение установить не удается.

    У меня еще вопрос по перехватчикам IRP, я полагаю, неопознанных перехватчиков быть не должно?

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Сделайте стандартный скрипт №3 и прикрепите лог...

  10. #9
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33
    Прикреплен. Ничего нового.

    AVZ слегка запутался в ссылках ntfs и похоже просканировал кеш браузера несколько раз )
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    и это не лог ...
    то что не дочитано в правилах
    В Windows Vista администратор понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбрать пункт Запустить от имени администратора (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку OK.

  12. #11
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33
    Какие есть основания утверждать, что этого не было сделано?

    Приведите пример лога, который нужен. Архив - результат 3-го скрипта.

  13. #12
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    7
    Вес репутации
    33
    Всем спасибо, spyware скорее всего имеет отношение к Microsoft.

    Выяснилось, что адреса по которым обращается Svchost арендуются именно этой компанией.

    Провайдеры Akamai, TeliaCarrier и LimeLight предоставляют услуги глобального перераспределения нагрузки через системы DNS. По сути, на DNS запрос выдается новый IP адрес каждые 20 секунд.

    Обратное разрешение указанных в начале IP адресов дает в том числе именя a1363.g.akamai.net и i.msdn.microsoft.com.
    Здесь 1363 - номер клиента, по видимому Майкрософт. Данная система перерасределения нагрузки используется в том числе для статического контента MSDN. (i.msdn.microsoft.com разрешается в разные IP адреса).

    Остается непонятно, зачем Svchost в котором работают службы Криптографии, Network Awareness и Терминалов, обращается к сайтам Майкрософт?

    Проверка подключения к Интернет службой Network Awareness осуществляется по другому адресу (не помню точно).

    Возможно он проверяет сертификаты безопасности (например для паспорта .NET), но зачем каждый день это делать несколько раз?

  • Уважаемый(ая) rrr2009, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Spyware
      От FLIPMIGyLa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.10.2010, 21:57
    2. подозрение на spyware
      От Max_C в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.02.2010, 17:33
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 17:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00953 seconds with 17 queries