Apache и Winroute открывают много портов

[Bulat]

Стоит сервак Windows 2000 Server Terminal Services. На нем Winroute Firewall в качестве сетевого экрана. Также на серваке стоит Apache+MySQL.

Так вот при запуске Apache и Winroute открывают много TCP-портов и слушают. Где-то в районе 1-2 тысяч штук каждый. Естественно при этом практически никакие сетевые сервисы на этом серваке не работают - все порты с 1024-ого и выше до пятитысячных уже заняты.

Переименовал Apache.exe - он после этого перестал так нехорошо себя вести, и как ему и положено сидит себе на 80-ом TCP-порте.

Естественно подозреваю, что это какой-то вирус/троян/бэкдор, перехвативающий то-ли запуск процессов, то-ли Winsock, то-ли все вместе. И видя или зная, что этим процессам разрешают ходить в инет, то открывают порты под их видом.

Пытался найти информацию по похожим случаям в поисковиках и на этом сайте - пока не нашел. Буду благодарен, если хотябы ткнете пальцем где в инете такое встречалось и обсуждалось. Симптомы больно уж характерные и заметные должны быть, плюс редкие, помоему.

Логи AVZ и пр. пока не приготовил - пишу из дома. Пока выкладываю дальнейшие подробности:

Сервак подключен одним концом в локальную сеть, а вторым в интернет (по совместительству пограничный firewall). Начались эти проблемы в тот момент, когда кто-то в локальной сети подхватил с какого-то крякерского сайта какую-то заразу.

Антивирус когда-то был Symantec, уже год с лишним как снесен. Сейчас антвирусов на серваке нет - да и запустить большинство из них не знаю как - они отказываются работать (а зачастую и устанавливаться вообще) на Server Terminal Services.

Прогнал на серваке кучу Anti-Adware, что-то нашли и вычистили, но пока результата нет. Помоему на компе все-таки сидит что-то типа Maxfiles (зараза такая), но на него, помоему, симптомы не похожи.

Anti-adware программы в количестве 3-4 штук сейчас на серваке все время активны. Поэтому в логах будет вариант с их CodeHijackами, и если смогу, то сделаю скан и без них.

P.S. Может заодно посоветуете что бы такого можно было из антивирусов на такой системе запустить, и где это взять.

[Bulat]

Диски стоят на FAT32, первый винт 120GB (<137GB) порезан на разделы, которые прекрасно видны из под MS-DOS. Активен первый раздел, винда стоит на втором. Так что, если есть какие-то сканеры руткитов и т.п. под дос или не очень большие (трафик денег стоит) образы для закатывания на диск, также буду премного благодарен (а-то Windows PE у меня нету в наличии, а впереди выходные).

P.S. А цеплять к другой машине боязно.

[pig]

Есть drweb/386 - под DOS, но знаниями равен Windows-версии. http://download.drweb.com/cl/

А больше пока посоветовать нечего.

[Bulat]

Прогнал пункт 8 из правил. (10-ый не заметил )
Файл прикладываю. Сразу посылаю закарантиненные файлы, происхождение которых я не знаю. Остальные подозрительные я вроде бы в курсе откудова и что это такое. В частности каталог D:\MODEM это фидошные эхо-конференции (форумы можно сказать ) и файлэхо-конференции.

Но если и среди прочего там что-то есть подозрительное - могу выслать.

[Bulat]

Спасибо за подсказку насчет Dr.Web, скачал, но еще не пробовал.

Кстати, засчет того, что диски FAT32, могу пробовать убирать любые файлы и возвращать на место их между загрузками системы. Так что, если на этот счет будут идеи - дайте знать тоже.

Задачи в schdulerе вроде бы все мои - правда ссылки не перепроверял.

Большинство программ из HKLM/S/M/W/CV/Run так сказать закомментированы - перед именем файла стоят значки подчеркивания.

Реально файлов типа D:\Documents and Settings\Guard\WINDOWS\system32\msafd.dll в этом каталоге нет - они все лежат в system32 в каталоге куда установлен Windows. Просто они указаны как запущенные из SystemRoot, а он под этим пользователем получается такой. Сами же программы были запущены не из под пользователя, а до входа. (правда некоторые файлы могут там оказаться, так что тоже могу посмотреть)

По поводу строк:
----------------
>>>> Возможно маскировка имени исполняемого файла 1528 winroute.exe, реальное имя - RT.EXE
>>>> Возможно маскировка имени исполняемого файла 2592 apav.exe, реальное имя - _Apa.exe
>>>> Возможно маскировка имени исполняемого файла 2284 apav.exe, реальное имя - _Apa.exe
--------------
Это я выключил после загрузки Apache и Winroute, переименовал их и запустил заново.

Я пробовал потом прогнать сканирование с отключенными всеми Anti-spyware программами - в этом случае UserMode перехватчики API не появились - остался только KernelMode принадлежащий тоже кому-то из них (помоему AVG).

Есть вопрос. А что значит: "Прямое чтение D:\W2KSP2\Temp\JETDC0A.tmp
" ? А-то может мне их там всех поудалять, или повынимать из под MSDOS и прислать ?

[pig]

Да, миллион всего, глаза разбегаются...

Вот это в карантин попало? Если нет - дошлите.

Код:

D:\W2KSP2\system32\regadd.exe

Прямое чтение - значит, файл кем-то занят монопольно, и AVZ его читает на более низком уровне. Если больше ничего про такой файл нет, то и повода для беспокойства особого нет. JETDC0A.tmp - судя по имени, рабочий файл MS Jet.

Да, там в логе сейчас чьи порты висят? WinRoute?

[Bulat]

Да, D:\W2KSP2\system32\regadd.exe в карантин попал и был залит на сайт мной сразу. Название файла сюда написать ? (я записал выданное название)

Куча открытых портов, это Winroute. Кстати, при сканировании с серых IP (10.0.0.0/8 ) эти порты сразу дают отлуп, а со стороны интернета на некоторых (на глаз - 1 из 50 или 100) TCP-соединение устанавливается, но дальше видать надо знать что туда посылать.

[Bulat]

Может быть есть какой-нибудь автоматический софт, который бы сумел из TCP/IP service providerа (тот, что к winsocks цепляется) вытащить адрес callback-функции отвечающей за открытые порты, и по этому адресу уже код и кусок памяти вокруг него ? Или какой-нибудь подменитель этих service providerов, чтобы как-то поисследовать того, кто открывает порты.