Перейти к содержанию

Помогите остановить службу BITS


Рекомендуемые сообщения

Приветствую, други! Помогите, чем сможете. ;)

 

Проблема моя заключается вот в чем.

На момент события на компе стоял Касперский, Outpost.

Полмесяца назад скачивал файлы с внутренней сетки в нашем городе, для того чтобы туда войти пришлось отключить свой Outpost, т.к. заход в сетку шел напрямую по IP-адресу.

Короче после этого системный файл Svchost (пишется файл именно так и он находится в папке Windows\System32, т.е. это не вирус) стал просит соединение (об этом сигнализирует Outpost) с компом какого-то человека с нашей сети - "oleg9.название нашей сети.ru". Звонил админам этой сети и они подтвердили мои слова, что это чей-то комп в сети. Если "запретить соединение навсегда", то пропадает Интернет. Также комп получает какие пакеты с других компов сети и ИНОГДА их отсылает 45. Короче каждый раз при включении компа приходится "блокировать однократно", благо у Outpost есть такая функция.

Начал проводить анализ посмотрил какой РID у этого svchost. Для этого установил классную прогу ProcessExplorer, она показывает какой процесс за что отвечает и сколько он жрет памяти в реальном времени. Эта прога показала, что под этим PID сидят порядка 25-30 процессов. Все процессы Windowские - проверял, типа AudioSrv, Dhcp, Browser и т.п.

Короче читал в Инете - куча всякой инфы и начал искать какой процесс из этих 30 просится. Начал потиноньку отключать те, которые можно отключить. Прочитал в Инете и ужаснулся, оказывается на момент события служба RemoteRegistry (удаленный реестр) - "позволяет удаленным пользователям изменять параметры реестра на моем компе" - была в положении АВТО (проклятые разработчики нет чтоб сразу при установке Винды сразу сама отключалась, а то в положении Авто и никто об этом незнает!)

 

Вчера нашел службу, кот. просится через svchost на другой комп и общается с другими компами - это служба BITS. Как обнаружил, а вот как я ее отключил. С момента отключения (захожу в Администрирование - Службы - Фоно. Интел. служба предачи - "Отключить" и тут же в программе ProcessExplorer нахожу мой svchost и эту службу и останавливаю её) до момента перезагрузки на комп никто не посылает запросо и мой комп ничего лишнего не посылает.

Но самое страшное происходит после перезагрузки - он снова появляется и сам становиться в положение "Авто".

Побовал отключать в реестре HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\BITS - файл Start ( тип REF_DWORD) ставлю в положение 4, т.е. отключить. Но после перезагрузки все возвращается на свои места.

 

Что делать ума не приложу! Подскажите?!

 

 

 

P.S. Пока при каждой загрузке нахожу эту службу и её останавливаю, но это уже порядком понадоело.

Да забыл сказать Касперский вирусов не видет. Установил Ad-Aware (эта прога проверяет реестр на вирусы и шпионские изменения), так она нашла два вируса но в других папках и то они не авто загружаемые.

Ссылка на комментарий
Поделиться на другие сайты

BITS - это служба интелектуальной закачки файлов, работает вместе с автоматическим обновлением

Попытайтесь отключить службу автоматического обновления

Отключать эти 2 службы лучше через

Администрирование - Службы

 

Кстати - что нашло Ad-AWare?

Ссылка на комментарий
Поделиться на другие сайты

BITS - это служба интелектуальной закачки файлов, работает вместе с автоматическим обновлением

Попытайтесь отключить службу автоматического обновления

Отключать эти 2 службы лучше через

 

 

Кстати - что нашло Ad-AWare?

Нашло какой-то троян в Crack, котороый я скачал еще год назад и не разу его не открывал, а название второго скажу завтра. Сейчас не помню.

 

Эти две службы BITS и Update я отключал вместе через Адиминистрирование. Но все равно не помогает!

Изменено пользователем Kapral
Поправил тэги
Ссылка на комментарий
Поделиться на другие сайты

Если эти вирусы остались , то выложите их на http://www.virustotal.com/ru/ и сюда ссылку

 

А по поводу автозапуска служб

Сделайте логи. Ссылка у меня в подписи (п.1)

Изменено пользователем Kapral
Поправил неверную ссылку
Ссылка на комментарий
Поделиться на другие сайты

Привет друзья Kapral и sergio342!

Програмитсы нашей фирмы посоветовали прогнать комп через три антивира (говорят что это дает 99% гарантии), установил три антивира и прогнал свой комп. Сначала AVZ, потом DRweb, потом Spybot search&destroy.

Правда немного ступил

и в AVZ поставли поставил дополнительную галочку в графе "Автоматически исправлять ошибки в SPI/LS" (в разделе "Проверять настройки SPI/LS")

и доп.галочки "Блокировать работу Rootkit User-Mode" и "Блокировать работу Rootkit Kernel-Mode".

 

..."Функция NtDeleteValueKey (41) перехвачена (805969F3->A957536C), перехватчик J:\WINDOWS\system32\drivers\SandBox.sys

Функция NtLoadDriver (61) перехвачена (805B97A1->A9575D38), перехватчик J:\WINDOWS\system32\drivers\afw.sys

Функция NtOpenFile (74) перехвачена (8057D538->A95757D0), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2. sys

 

И что-то там еще нашел (наверное интересное)... Отчет дома забыл.

 

После перезагрузки у меня перестал работать Касперский ( в режиме реального времени) и OutPost.

Пришлось их заново переустанавливать.

DRWeb и Spybot search&destroy. Ничего не нашли.

 

Забыл сказать, что посмотрел сегодня инфу про эти файлы в Инете.

afw.sys, SandBox.sys - это OutPost

sp_rsdrv2.sys - это мой новый антивирус SpyWave Terminator

 

Но самое приятное, что после этого BITS я все таки отключил и левых соединений больше нет!

 

 

Отчет о проверке AVZ забыл дома, с обеда выложу его на форуме. Посмотрите?

 

 

забыл сказать, что для проверки всеми этими прогами отключал "восстановление системы".

 

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 11.12.2008 19:05:53

Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09

Загружены микропрограммы эвристики: 370

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 70476

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: Отключено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883FC4

Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован

>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !)

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FD3

Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован

>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !)

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FF1

Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FE2

Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован

Детектирована модификация IAT: LoadLibraryA - 7C883FC4<>7C801D77

Адрес в IAT восстановлен: LoadLibraryA

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[10091462]

>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован

Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009148E]

>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован

Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10091176]

>>> Код руткита в функции EndTask нейтрализован

Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[100910F2]

>>> Код руткита в функции ExitWindowsEx нейтрализован

Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1009111E]

>>> Код руткита в функции SetForegroundWindow нейтрализован

Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009114A]

>>> Код руткита в функции SetWindowPos нейтрализован

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08A500)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80561500

KiST = 85E36008 (297)

>>> Внимание, таблица KiST перемещена ! (804E48B0(284)->85E36008(297))

Функция NtAssignProcessToJobObject (13) перехвачена (805A96CC->F3403830), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtClose (19) перехвачена (8056E9E9->F345288E), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (1F) перехвачена (80591D6E->F340544C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateFile (25) перехвачена (8057D3C4->F34520EC), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateKey (29) перехвачена (80577237->F3451DCE), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateProcess (2F) перехвачена (805C0BF0->F3159D90), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateProcessEx (30) перехвачена (8058AB10->F3159F00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateSection (32) перехвачена (8056CE25->F3453938), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8658->F33F5870), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (35) перехвачена (805849B2->F315A7FE), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDeleteFile (3E) перехвачена (805E4AD2->F33F47E0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDeleteKey (3F) перехвачена (80598177->F3451ED8), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtDeleteValueKey (41) перехвачена (805969F3->F3451FC2), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtLoadDriver (61) перехвачена (805B97A1->F3452BBC), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMakeTemporaryObject (69) перехвачена (805A88B9->F33F50F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenFile (74) перехвачена (8057D538->F34523F4), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenKey (77) перехвачена (80571CBC->F33F6940), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcess (7A) перехвачена (8057908C->F3159B90), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenSection (7D) перехвачена (8057EB4A->F33E9580), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThread (80) перехвачена (805B132C->F3400A40), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtProtectVirtualMemory (89) перехвачена (805793A1->F34049A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryDirectoryFile (91) перехвачена (8057FAE8->F33EFC70), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryInformationFile (97) перехвачена (8057ECBB->F315A69E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryKey (A0) перехвачена (80577FAC->F33F7BB0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtQueryValueKey (B1) перехвачена (80572100->F33F8310), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtReplaceKey (C1) перехвачена (806545FE->F33F9640), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtRestoreKey (CC) перехвачена (8065311C->F33FB610), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSaveKey (CF) перехвачена (806531C3->F33FA740), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSaveKeyEx (D0) перехвачена (8065325B->F33FAEA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSecureConnectPort (D2) перехвачена (8058E596->F3405DCC), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (D5) перехвачена (80633D53->F3403020), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationFile (E0) перехвачена (80582BC5->F3452526), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationProcess (E4) перехвачена (80581B2D->F315C530), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetValueKey (F7) перехвачена (8057FF13->F3451BFC), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (101) перехвачена (8058C399->F3452B04), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (102) перехвачена (805845F8->F34027A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteFile (112) перехвачена (80582E45->F345270C), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (115) перехвачена (8058698B->F3403FA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Проверено функций: 284, перехвачено: 38, восстановлено: 38

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

\driver\tcpip[iRP_MJ_CREATE] = F6E42AA6 -> C:\WINDOWS\system32\DRIVERS\afw.sys

\driver\tcpip[iRP_MJ_DEVICE_CONTROL] = F6E42DDE -> C:\WINDOWS\system32\DRIVERS\afw.sys

\driver\tcpip[iRP_MJ_INTERNAL_DEVICE_CONTROL] = F6E42C60 -> C:\WINDOWS\system32\DRIVERS\afw.sys

\driver\tcpip[iRP_MJ_CLEANUP] = F6E42B94 -> C:\WINDOWS\system32\DRIVERS\afw.sys

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 30

Количество загруженных модулей: 281

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT

Прямое чтение C:\Documents and Settings\postgres\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\postgres\NTUSER.DAT

Прямое чтение C:\Documents and Settings\sergey\Cookies\index.dat

Прямое чтение C:\Documents and Settings\sergey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Прямое чтение C:\Documents and Settings\sergey\Local Settings\History\History.IE5\index.dat

Прямое чтение C:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Прямое чтение C:\Documents and Settings\sergey\NTUSER.DAT

C:\Program Files\PostgreSQL\8.3\bin\oid2name.exe >>> подозрение на Trojan-Downloader.Win32.Small.dxv ( 0A339C95 06A296C4 003DF1D0 001C8081 31744)

C:\Program Files\PostgreSQL\8.3\lib\chkpass.dll >>> подозрение на Trojan-Dropper.Win32.TopBind ( 0B8CA65F 03D360ED 003DF1D0 00000000 17920)

Прямое чтение C:\Program Files\Spyware Terminator\sp_rsser.exe.ulog

Прямое чтение C:\WINDOWS\SchedLgU.Txt

Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log

Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb

Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\default

Прямое чтение C:\WINDOWS\system32\config\SAM

Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\SECURITY

Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt

Прямое чтение C:\WINDOWS\system32\config\system

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA

Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

Прямое чтение C:\WINDOWS\WindowsUpdate.log

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

c:\progra~1\agnitum\outpos~1\wl_hook.dll --> Подозрение на Keylogger или троянскую DLL

c:\progra~1\agnitum\outpos~1\wl_hook.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 7 TCP портов и 9 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\agnitum\outpos~1\wl_hook.dll"

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Проверка завершена

9. Мастер поиска и устранения проблем

>> Разрешен автозапуск с HDD

>>> Разрешен автозапуск с HDD - исправлено

>> Разрешен автозапуск с сетевых дисков

>>> Разрешен автозапуск с сетевых дисков - исправлено

>> Разрешен автозапуск со сменных носителей

>>> Разрешен автозапуск со сменных носителей - исправлено

Проверка завершена

Просканировано файлов: 285889, извлечено из архивов: 190932, найдено вредоносных программ 0, подозрений - 2

Сканирование завершено в 11.12.2008 19:24:46

! Внимание ! Восстановлено 38 функций KiST в ходе работы антируткита

Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

Сканирование длилось 00:18:54

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

 

 

Что скажешь?

 

 

 

 

 

в пункте "8. Поиск потенциальных уязвимостей

 

Безопасность: к ПК разрешен доступ анонимного пользователя"

Подскажите как его отключить?

Ссылка на комментарий
Поделиться на другие сайты

к ПК разрешен доступ анонимного пользователя"

Подскажите как его отключить?

 

В реестре HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous у тебя равно 0.

Присвой ему значение 2.

Ссылка на комментарий
Поделиться на другие сайты

А логи лучше приложить

самолечение - не всегда хорошее занятие

 

ЗЫ. Кстати - логи лучше прикреплять как файл а не размещать портянку в самом посте

Ссылка на комментарий
Поделиться на другие сайты

Kapral. Все логи сделал, а как их на этом форуме к письму приложить?

Не могу понять! Такой функции в ответе почему-то не предлагают!

Ссылка на комментарий
Поделиться на другие сайты

Просьба помочь!

 

Высылаю логи. Посмотрите все ли нормально на моем компе.Третий файл ( с расширением hijackthis.log) система форума мне почему-то грузить не дает пишет -"Неудачная загрузка. Вам запрещено загружать такой тип файлов!"

Так-что пришлось его заархивировать. Вы уж не обессудьте.

Из программ стоит Касперский, Outpost, SpyWare Terminator, Spybot - Search & Destroy.

 

 

Мне тут один человек на другом сайте подсказал такую вещь, что он сталкивался с такой проблемой и долго ее решал. Сказал посмотреть есть ли у меня файл ghg24.sys в РЕЕСТРЕ (только в реестре, в файлах на С:\ его нет). Если есть то у тебя сказал сидит руткит. Но помочь мне категорически отказался. И этот файл действительно у меня в реестре есть!

Проверил свой комп на работе, там такого файла в реестре нет.

 

 

Жду от вас комментариев моих логов. Помогите пожалуйста.

 

P/S – да, программа PostgresSQL это не вирус а лицензионная программа.

 

 

 

 

Зарнее благодарю!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты

"Ну и зоопарк" ;)

 

в смутное время живем, кругом одни вирусы, приходиться перестраховываться ;) В реальном режиме работают только Касп, Outpost, SpyWare Terminator.

 

 

Kapral, подскажи когда примерно дадут ответ по состоянию моего компа (по моим логам)?

Заранее благодарю тебя дружище!

 

 

P\S Да и что думаешь по файлу в реестре ghg24.sys? Скажи, уж больно интересно что это за файл. Сидит он вот здесь - HKEY_USERS\S-1-5-21-1409082233-362288127-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603

Ссылка на комментарий
Поделиться на другие сайты

Да и что думаешь по файлу в реестре ghg24.sys? Скажи, уж больно интересно что это за файл. Сидит он вот здесь - HKEY_USERS\S-1-5-21-1409082233-362288127-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603

 

;) Можешь успокоить паранойю - в этой ветке ничего не сидит. То что тебя напугало всего лишь ключ с названием имени файла который ты же сам и искал ранее с помощью поисковика винды.

Для эксперимента - если поищешь через поисковик "СамыйСтрашныйВирус.ехе", то получишь в реестре куда более устрашающие ключи ;)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...