Показано с 1 по 4 из 4.

поведение как будто скрытый radmin (заявка № 63059)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    4
    Вес репутации
    35

    Question поведение как будто скрытый radmin

    Добрый день!

    Несколько недель назад начал замечать странное поведение: иногда курсор мыши самопроизвольно убегает за границы экрана. Подобно тому, как если бы кто-то подключался к компьютеру с помощью radmin'а в режиме "полное управление" и "выдирал" свою мышку из окна удаленной машины.

    Я снес радмин сервер на машине (тот который ставил сам), несколько раз проверил антивирусом, но мышка продолжала убегать.

    Далее я заметил системные программы слушают на странных необщеизвестных UDP портах:
    winlogon - udp/1048 или udp/1027
    lsass - udp/1030 или udp/1029
    svchost - udp/1025
    spoolsv - udp/1098 или udp/1060
    С каждой перезагрузкой номера портов незначительно меняются. Понять, какие именно загруженные каждой программой dllки слушают эти порты, мне не удалось - при изучении с помощью AVZ, process Explorer все видимые dllки (и сами исполняемые файлы) были подписаны и адекватны.

    На компьютере стоит avira antivir Personal и Agnitum Outpost Pro 6.5.3.

    Выполняя скрипт лечения/карантина забыл выключить антивирус, и во время сканирования дисков антивирус поймал два файлика, которые я от неожиданности удалил:

    Virus or unwanted program 'SPR/RAdmin.ft.6 [riskware]'
    detected in file 'C:\Documents and Settings\VPleshakov\Local Settings\Temp\avz_3708_2.tmp.
    Action performed: Delete file

    Virus or unwanted program 'SPR/Remote.CJ [riskware]'
    detected in file 'C:\Documents and Settings\VPleshakov\Local Settings\Temp\avz_3708_2.tmp.
    Action performed: Delete file

    Однако, не смотря на лечение, udp-порты до сих пор открыты.

    Посмотрите, пожалуйста, логи, скажите свое мнение.


    Кстати, ранее, В погоне за этим зверем, я что-то отломал в службе "рабочая станция" (LanmanWorkstation) - теперь при попытке ее запустить "от службы получен код ошибки 2250". Советы указаные здесь http://support.microsoft.com/kb/841570 мне не помогли.
    Также не запускается "Локатор удаленного вызова процедур (RPC)" (RpcLocator) - но это,видимо, от того что локатор зависит от службы "рабочая станция".
    И почему-то не удается создавать СOM+ объекты - при попытке запустить например, Sun VirtualBox или rapimgr.exe из "Microsoft ActiveSync", появляется ошибка с номером 0x800706BA.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В логах нет ничего подозрительного.
    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    4
    Вес репутации
    35
    Вот. Из-за различных ограничений , приходится работать в трех браузерах, поэтому запустил все три.

    Добавлено через 3 минуты

    во вложение не пролезло:
    virusinfo_files_QUARTIS.zip:
    Ваш файл занимает 9.73 Мб байт, что превышает предел на форуме в 4.77 Мб для этого типа файла.
    Залил вот сюда:
    http://virusinfo.info/upload_clean.php
    Результат загрузки
    Файл сохранён как 091209_194240_virusinfo_files_QUARTIS_4b1fd3807739 f.zip
    Размер файла 10203408
    MD5 4c605a533dac1b32f80d98a4f7c14e85

    Файл закачан, спасибо!

    Добавлено через 18 минут

    Результаты обработки
    Архив 091209_194240_virusinfo_files_QUARTIS_4b1fd3807739 f.zip, загружен 09.12.2009 19:50:28, размер 10203408 байт
    Всего файлов: 60 (исполняемых 55), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    занесены в базу безопасных AVZ: 1
    В очереди на добавление в базу безопасных:
    высокий приоритет: 28
    обычный приоритет: 31

    Тоесть все хорошо?

    А вы можете мне помочь раскопать ответ на вопрос, почему системные программы слушают на странных необщеизвестных UDP портах?
    Последний раз редактировалось Wasapl; 09.12.2009 в 20:02. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Wasapl Посмотреть сообщение
    А вы можете мне помочь раскопать ответ на вопрос, почему системные программы слушают на странных необщеизвестных UDP портах?
    Нет - у нас форум, а не институт информатики: http://ru.wikipedia.org/wiki/UDP

  • Уважаемый(ая) Wasapl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. autorun на флешках, скрытый каталог, скрытый файл (заявка №40011)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 02.12.2010, 21:00
    2. Ответов: 8
      Последнее сообщение: 21.02.2010, 15:15
    3. Radmin
      От pixel в разделе Софт - общий
      Ответов: 1
      Последнее сообщение: 07.07.2009, 22:29
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 04:27
    5. Рабочего стола как будто не существует...
      От miss_angel_1 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.05.2008, 16:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00650 seconds with 16 queries