Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Аудит отказов зафлужен svchost.exe от NT AUTHORITY (заявка № 92279)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30

    Аудит отказов зафлужен svchost.exe от NT AUTHORITY

    Тип события: Аудит отказов
    Источник события: Security
    Категория события: Подробное отслеживание
    Код события: 861
    Дата: 23.11.2010
    Время: 16:48:38
    Пользователь: NT AUTHORITY\NETWORK SERVICE
    Компьютер: OWYN
    Описание:
    Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

    Имя: -
    Путь: V:\WIN\system32\svchost.exe
    Код процесса: 1188
    Учетная запись пользователя: NETWORK SERVICE
    Домен пользователя: NT AUTHORITY
    Служба: Да
    RPC-сервер: Нет
    IP-версия: IPv4
    IP-протокол: UDP
    Номер порта: 50893
    Разрешено: Нет
    Пользователь извещен: Нет
    что это значит и если это нормально как убрать логгирование тк я хотел поставить аудит на NTFS папку одну и смотреть потом логи, но они уже забиты и заметить что-то нужное будет неправдоподобно сложно.

    С системой вроде всё хорошо, AnVir Task Manager ничего плохого не видит, а AVZ как и раньше ругается на непонятные перехваты (по их поводу я писал, но сказали что это тоже нормально)
    Последний раз редактировалось olejah; 23.11.2010 в 17:24. Причина: Логи не постятся, а прикрепляются

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Добро пожаловать в раздел Помогите (Ваша тема была перемещена). У Вас вирус, выполните правила.

  4. #3
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    Логи

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('V:\WIN\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
     QuarantineFile('V:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\net_share.bat','');
     QuarantineFile('V:\WIN\system32\uninstall.exe','');
     QuarantineFile('V:\DOCUME~1\Admin\LOCALS~1\Temp\b.exe','');
     QuarantineFile('c:\cssrv\hlsm\hlsm.exe','');
     QuarantineFile('V:\WIN\system32\mfnspadv32.dll','');
     QuarantineFile('V:\WIN\mfnhks32.dll','');
     QuarantineFile('V:\WIN\system32\msxml71.dll','');
     DeleteFile('V:\WIN\system32\msxml71.dll');
     DeleteFile('V:\DOCUME~1\Admin\LOCALS~1\Temp\b.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  6. #5
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    всё прислал:
    Файл сохранён как 101123_182709_quarantine_4cebdd4d9565d.zip

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    Повторные логи:


    п.с. - аудит по прежнему зафлуживается svchost

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267

  10. #9
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    два часа сканировало

    вот лог:

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
    HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{c20ee2d6-81c3-6a08-79c5-1989da43bc19} (Trojan.Downloader) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (PUP.AdvancedPRecovery) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_NAVIGATION_SOUNDS\services.exe (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    C:\cheat\hlapex\hLaPEx.exe (Trojan.Dropper.PGen) -> No action taken.
    V:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\427AVW31\eHf7929efbV03005f35002Reac29509102Tbc86b385Q00000000901800F0020000aJ10000601l00193181[1] (Trojan.Dropper) -> No action taken.
    V:\Program Files\AVZ\avz4\Infected\2010-11-23\avz00001.dta (Malware.Packer.Gen) -> No action taken.
    V:\Program Files\AVZ\avz4\Infected\2010-11-23\avz00002.dta (Malware.Packer.Gen) -> No action taken.
    V:\Program Files\Internet Explorer\svcnost.exe (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    удалил, перезагрузил.

    но по прежнему флудит, порты рандомные на каждое событие 40000+ всегда

    Тип события: Аудит отказов
    Источник события: Security
    Категория события: Подробное отслеживание
    Код события: 861
    Дата: 23.11.2010
    Время: 23:52:42
    Пользователь: NT AUTHORITY\NETWORK SERVICE
    Компьютер: OWYN
    Описание:
    Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

    Имя: -
    Путь: V:\WIN\system32\svchost.exe
    Код процесса: 1200
    Учетная запись пользователя: NETWORK SERVICE
    Домен пользователя: NT AUTHORITY
    Служба: Да
    RPC-сервер: Нет
    IP-версия: IPv4
    IP-протокол: UDP
    Номер порта: 56750
    Разрешено: Нет
    Пользователь извещен: Нет

    новые логи:

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    лог:

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    v:\win\system32\drivers\tcpip.sys проверьте на virustotal.com

  16. #15
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    у меня уже очень давно virustotal.com перестал нормально работать, кнопки send ничего не делают ни в фаерфоксе стабильном ни в хроме бете

    в нем только количество полуоткрытых соединений изменено, но приложил в архиве с пассом virus на всякий.
    Последний раз редактировалось Owyn; 24.11.2010 в 16:39.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Проверьтесь http://support.kaspersky.ru/viruses/...?qid=208636926
    Лог работы прикрепите к сообщению

  18. #17
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    TDSS нашел только daemon tools
    лог:

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Добавьте svchost.exe в исключения брандмауэра.

  20. #19
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    17
    Вес репутации
    30
    Панель управления -> брандмауер стоит значение "Выключен" и при попытке добавления в исключения пишет "не удается добавить в исключения"

    нужен ли отчет GMER или нужно ли поставить тип запуска работающей сейчас службы "Брандамауер" с "Авто" на "Отключено"?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    нужно ли поставить тип запуска работающей сейчас службы "Брандамауер" с "Авто" на "Отключено"?
    Поставьте. Посмотрите, что будет с проблемой.

  • Уважаемый(ая) Owyn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 27.12.2012, 19:33
    2. Ошибка svchost.exe и NT Authority/System
      От zalish в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 01.03.2011, 03:31
    3. Аудит безопасности
      От serpuh в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 03.06.2010, 10:14
    4. Сканер файлов (аудит файлов в системе)
      От VIKT0R в разделе Публичное бета-тестирование
      Ответов: 15
      Последнее сообщение: 14.06.2009, 19:51
    5. Аудит отказов, блокируются учетки
      От yanakhod в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.02.2009, 08:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00520 seconds with 16 queries