denixx 0 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Добрый день! Кто-то тут брутфорсит, видимо, мой Bitvise SSH Server, пытаясь подобрать пароль к порту с обфускацией протокола. Замечено, что занимается этим, почему-то, qBittorrent, запросы прилетают якобы от него." TCP 127.0.0.1:51664 127.84.118.67:444 ESTABLISHED [qbittorrent.exe] TCP 127.84.118.67:444 127.0.0.1:51664 ESTABLISHED [bvSshServer.exe]" KTS проверил вчера систему (давно хотел слезть с аваста), но кроме AutoKMS и ещё пары вещей в ISO-образах ничего не нашёл. Также перед этим банально удалил и установил заново qBittorrent без удаления пользовательских данных - ничего не изменилось. Комп вполне жирный, так что кто-то видать решил поживиться. Сижу под пользовательской учёткой, включая админские права в случае необходмиости. В панели управления SSH вот такая картинка в событиях: Скриншот: Прикладываю логи скрипта. CollectionLog-2016.05.02-11.14.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
denixx 0 Опубликовано 2 мая, 2016 Автор Share Опубликовано 2 мая, 2016 Обновился успешно, запущено в такой конфигурации: Скриншот: Может галку "проверка на наличие руткитов" тоже следовало включить? В KTS выключил защиту на время проверки. Или можно включить обратно? Как это обычно бывает, подозрения начали падать на всё, что шевелится Процесс dwm.exe (диспетчер окон рабочего стола) внезапно начал кушать проц. Как раз во время проверки mbam'ом. Может быть этот некто ещё и подсматривает? Скриншоты: Окей, проверка завершена, прикладываю отчёт. Интересно... Активность пока прекратилась, сейчас не брутфорсится. Я просто заглянул в панель управления SSH, и там новых сообщений уже не появляется. Но система настойчиво предлагает мне изменить оформление окошек на упрощённое, мол не хватает ресурсов. <event seq="4290" time="2016-05-02 16:11:53.647253 +0300" app="BvSshServer ..." name="I_CONNECT_ACCEPTED" desc="Connection accepted."> <session id="2235" remoteAddress="127.0.0.1:57690"/> <parameters addressRule="AnyIP" listenAddress="127.84.118.67:444"/> </event> Вот последняя запись в логе, связанная с этим странным поведением. А стартанула машина <start time="2016-05-01 13:40:42.458649 +0300" Почуял неладное Наверняка какая-то лазейка осталась. Окей, думаю, что разгадка кроется в постоянных сообщениях "перйдите в упрощённый режим графики". На всякий случай добавляю новый отчёт AutoLogger'а Отлично, теперь dwm грузит проц только тогда, когда не запущен диспетчер задач Это становится всё забавнее. MBAM_report.txt CollectionLog-2016.05.02-19.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 2 мая, 2016 Share Опубликовано 2 мая, 2016 Удалите в MBAM только это: Папки: 2 PUP.Optional.Spigot, c:\users\andrey\appdata\local\google\chrome\user data\default\extensions\gpiifgmgnfdiblgpaepbmfdkcheicgof, , [1ffb01d005943afcaa444ae85ca741bf], PUP.Optional.Spigot, c:\users\andrey\appdata\local\google\chrome\user data\default\extensions\nlcphjankhppgohedpkjonpadimhaoof, , [50ca923fc0d90b2b0ae7d75b5da638c8], Файлы: 22 PUP.Optional.LoadMoney, E:\Incoming\Mamko\Downloads\irina-allegrova-diskografiya-1992-2010-mr3 (2).exe, , [1109448d316842f485dad8fbab5610f0], PUP.Optional.LoadMoney, E:\Incoming\Mamko\Downloads\irina-allegrova-diskografiya-1992-2010-mr3.exe, , [c55559782c6d89adf16e0cc7dd246799], Цитата Ссылка на сообщение Поделиться на другие сайты
denixx 0 Опубликовано 3 мая, 2016 Автор Share Опубликовано 3 мая, 2016 Удалил.Дальше строки из ProcessExplorer, в конце строки команда запуска.Подскажите, как понять, что это за процессы: dllhost.exe dllhost.exe < 0.01 8 012 K 9 956 K 4896 COM Surrogate Microsoft Corporation C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{3EB3C877-1F16-487C-9050-104DBCD66683} dllhost.exe dllhost.exe 3 112 K 6 924 K 4272 COM Surrogate Microsoft Corporation C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}Второй может самоустраниться, а первый висит постоянно. И ещё вот такое имеетсяconhost.exe conhost.exe < 0.01 1 580 K 3 580 K 3744 Окно консоли узла Microsoft Corporation \??\C:\Windows\system32\conhost.exe "-98339983-1899747981708782219-1973187624-1531241729304711701875379104133298917 conhost.exe conhost.exe < 0.01 1 576 K 3 584 K 3964 Окно консоли узла Microsoft Corporation \??\C:\Windows\system32\conhost.exe "1739072410-299988461-111461507618417995661901678787-1783581005-13643333941116045042 conhost.exe conhost.exe 2 304 K 5 512 K 7320 Окно консоли узла Microsoft Corporation \??\C:\Windows\system32\conhost.exe "-925743776-63078778-13397177243203985641004146841461109282-17832043441353562902 Здесь два вроде как связаны с Tomcat'ами. Не могу понять, чей третий... dllhost.exe dllhost.exe 3 424 K 7 720 K 5460 COM Surrogate Microsoft Corporation C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 3 мая, 2016 Share Опубликовано 3 мая, 2016 Это нормальные записи. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.