Сержио 0 Опубликовано 11 декабря, 2008 Share Опубликовано 11 декабря, 2008 Приветствую, други! Помогите, чем сможете. Проблема моя заключается вот в чем. На момент события на компе стоял Касперский, Outpost. Полмесяца назад скачивал файлы с внутренней сетки в нашем городе, для того чтобы туда войти пришлось отключить свой Outpost, т.к. заход в сетку шел напрямую по IP-адресу. Короче после этого системный файл Svchost (пишется файл именно так и он находится в папке Windows\System32, т.е. это не вирус) стал просит соединение (об этом сигнализирует Outpost) с компом какого-то человека с нашей сети - "oleg9.название нашей сети.ru". Звонил админам этой сети и они подтвердили мои слова, что это чей-то комп в сети. Если "запретить соединение навсегда", то пропадает Интернет. Также комп получает какие пакеты с других компов сети и ИНОГДА их отсылает 45. Короче каждый раз при включении компа приходится "блокировать однократно", благо у Outpost есть такая функция. Начал проводить анализ посмотрил какой РID у этого svchost. Для этого установил классную прогу ProcessExplorer, она показывает какой процесс за что отвечает и сколько он жрет памяти в реальном времени. Эта прога показала, что под этим PID сидят порядка 25-30 процессов. Все процессы Windowские - проверял, типа AudioSrv, Dhcp, Browser и т.п. Короче читал в Инете - куча всякой инфы и начал искать какой процесс из этих 30 просится. Начал потиноньку отключать те, которые можно отключить. Прочитал в Инете и ужаснулся, оказывается на момент события служба RemoteRegistry (удаленный реестр) - "позволяет удаленным пользователям изменять параметры реестра на моем компе" - была в положении АВТО (проклятые разработчики нет чтоб сразу при установке Винды сразу сама отключалась, а то в положении Авто и никто об этом незнает!) Вчера нашел службу, кот. просится через svchost на другой комп и общается с другими компами - это служба BITS. Как обнаружил, а вот как я ее отключил. С момента отключения (захожу в Администрирование - Службы - Фоно. Интел. служба предачи - "Отключить" и тут же в программе ProcessExplorer нахожу мой svchost и эту службу и останавливаю её) до момента перезагрузки на комп никто не посылает запросо и мой комп ничего лишнего не посылает. Но самое страшное происходит после перезагрузки - он снова появляется и сам становиться в положение "Авто". Побовал отключать в реестре HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\BITS - файл Start ( тип REF_DWORD) ставлю в положение 4, т.е. отключить. Но после перезагрузки все возвращается на свои места. Что делать ума не приложу! Подскажите?! P.S. Пока при каждой загрузке нахожу эту службу и её останавливаю, но это уже порядком понадоело. Да забыл сказать Касперский вирусов не видет. Установил Ad-Aware (эта прога проверяет реестр на вирусы и шпионские изменения), так она нашла два вируса но в других папках и то они не авто загружаемые. Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 11 декабря, 2008 Share Опубликовано 11 декабря, 2008 BITS - это служба интелектуальной закачки файлов, работает вместе с автоматическим обновлением Попытайтесь отключить службу автоматического обновления Отключать эти 2 службы лучше через Администрирование - Службы Кстати - что нашло Ad-AWare? Цитата Ссылка на сообщение Поделиться на другие сайты
Сержио 0 Опубликовано 11 декабря, 2008 Автор Share Опубликовано 11 декабря, 2008 (изменено) BITS - это служба интелектуальной закачки файлов, работает вместе с автоматическим обновлениемПопытайтесь отключить службу автоматического обновления Отключать эти 2 службы лучше через Кстати - что нашло Ad-AWare? Нашло какой-то троян в Crack, котороый я скачал еще год назад и не разу его не открывал, а название второго скажу завтра. Сейчас не помню. Эти две службы BITS и Update я отключал вместе через Адиминистрирование. Но все равно не помогает! Изменено 11 декабря, 2008 пользователем Kapral Поправил тэги Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 11 декабря, 2008 Share Опубликовано 11 декабря, 2008 (изменено) Если эти вирусы остались , то выложите их на http://www.virustotal.com/ru/ и сюда ссылку А по поводу автозапуска служб Сделайте логи. Ссылка у меня в подписи (п.1) Изменено 11 декабря, 2008 пользователем Kapral Поправил неверную ссылку Цитата Ссылка на сообщение Поделиться на другие сайты
sergio342 108 Опубликовано 11 декабря, 2008 Share Опубликовано 11 декабря, 2008 (изменено) - Изменено 11 декабря, 2008 пользователем sergio342 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Сержио 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 Привет друзья Kapral и sergio342! Програмитсы нашей фирмы посоветовали прогнать комп через три антивира (говорят что это дает 99% гарантии), установил три антивира и прогнал свой комп. Сначала AVZ, потом DRweb, потом Spybot search&destroy. Правда немного ступил и в AVZ поставли поставил дополнительную галочку в графе "Автоматически исправлять ошибки в SPI/LS" (в разделе "Проверять настройки SPI/LS") и доп.галочки "Блокировать работу Rootkit User-Mode" и "Блокировать работу Rootkit Kernel-Mode". ..."Функция NtDeleteValueKey (41) перехвачена (805969F3->A957536C), перехватчик J:\WINDOWS\system32\drivers\SandBox.sys Функция NtLoadDriver (61) перехвачена (805B97A1->A9575D38), перехватчик J:\WINDOWS\system32\drivers\afw.sys Функция NtOpenFile (74) перехвачена (8057D538->A95757D0), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2. sys И что-то там еще нашел (наверное интересное)... Отчет дома забыл. После перезагрузки у меня перестал работать Касперский ( в режиме реального времени) и OutPost. Пришлось их заново переустанавливать. DRWeb и Spybot search&destroy. Ничего не нашли. Забыл сказать, что посмотрел сегодня инфу про эти файлы в Инете. afw.sys, SandBox.sys - это OutPost sp_rsdrv2.sys - это мой новый антивирус SpyWave Terminator Но самое приятное, что после этого BITS я все таки отключил и левых соединений больше нет! Отчет о проверке AVZ забыл дома, с обеда выложу его на форуме. Посмотрите? забыл сказать, что для проверки всеми этими прогами отключал "восстановление системы". Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 11.12.2008 19:05:53 Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 70476 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: Отключено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883FC4 Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !) Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FD3 Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !) Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FF1 Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FE2 Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован Детектирована модификация IAT: LoadLibraryA - 7C883FC4<>7C801D77 Адрес в IAT восстановлен: LoadLibraryA Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[10091462] >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009148E] >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10091176] >>> Код руткита в функции EndTask нейтрализован Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[100910F2] >>> Код руткита в функции ExitWindowsEx нейтрализован Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1009111E] >>> Код руткита в функции SetForegroundWindow нейтрализован Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009114A] >>> Код руткита в функции SetWindowPos нейтрализован Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=08A500) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80561500 KiST = 85E36008 (297) >>> Внимание, таблица KiST перемещена ! (804E48B0(284)->85E36008(297)) Функция NtAssignProcessToJobObject (13) перехвачена (805A96CC->F3403830), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtClose (19) перехвачена (8056E9E9->F345288E), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtConnectPort (1F) перехвачена (80591D6E->F340544C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateFile (25) перехвачена (8057D3C4->F34520EC), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateKey (29) перехвачена (80577237->F3451DCE), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateProcess (2F) перехвачена (805C0BF0->F3159D90), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateProcessEx (30) перехвачена (8058AB10->F3159F00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSection (32) перехвачена (8056CE25->F3453938), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateSymbolicLinkObject (34) перехвачена (805A8658->F33F5870), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtCreateThread (35) перехвачена (805849B2->F315A7FE), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteFile (3E) перехвачена (805E4AD2->F33F47E0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteKey (3F) перехвачена (80598177->F3451ED8), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtDeleteValueKey (41) перехвачена (805969F3->F3451FC2), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtLoadDriver (61) перехвачена (805B97A1->F3452BBC), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtMakeTemporaryObject (69) перехвачена (805A88B9->F33F50F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenFile (74) перехвачена (8057D538->F34523F4), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenKey (77) перехвачена (80571CBC->F33F6940), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenProcess (7A) перехвачена (8057908C->F3159B90), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenSection (7D) перехвачена (8057EB4A->F33E9580), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtOpenThread (80) перехвачена (805B132C->F3400A40), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtProtectVirtualMemory (89) перехвачена (805793A1->F34049A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryDirectoryFile (91) перехвачена (8057FAE8->F33EFC70), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryInformationFile (97) перехвачена (8057ECBB->F315A69E), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryKey (A0) перехвачена (80577FAC->F33F7BB0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtQueryValueKey (B1) перехвачена (80572100->F33F8310), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtReplaceKey (C1) перехвачена (806545FE->F33F9640), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtRestoreKey (CC) перехвачена (8065311C->F33FB610), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSaveKey (CF) перехвачена (806531C3->F33FA740), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSaveKeyEx (D0) перехвачена (8065325B->F33FAEA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSecureConnectPort (D2) перехвачена (8058E596->F3405DCC), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetContextThread (D5) перехвачена (80633D53->F3403020), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetInformationFile (E0) перехвачена (80582BC5->F3452526), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetInformationProcess (E4) перехвачена (80581B2D->F315C530), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtSetValueKey (F7) перехвачена (8057FF13->F3451BFC), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateProcess (101) перехвачена (8058C399->F3452B04), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtTerminateThread (102) перехвачена (805845F8->F34027A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteFile (112) перехвачена (80582E45->F345270C), перехватчик C:\WINDOWS\system32\drivers\sp_rsdrv2.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Функция NtWriteVirtualMemory (115) перехвачена (8058698B->F3403FA0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys >>> Функция воcстановлена успешно ! >>> Код перехватчика нейтрализован Проверено функций: 284, перехвачено: 38, восстановлено: 38 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \driver\tcpip[iRP_MJ_CREATE] = F6E42AA6 -> C:\WINDOWS\system32\DRIVERS\afw.sys \driver\tcpip[iRP_MJ_DEVICE_CONTROL] = F6E42DDE -> C:\WINDOWS\system32\DRIVERS\afw.sys \driver\tcpip[iRP_MJ_INTERNAL_DEVICE_CONTROL] = F6E42C60 -> C:\WINDOWS\system32\DRIVERS\afw.sys \driver\tcpip[iRP_MJ_CLEANUP] = F6E42B94 -> C:\WINDOWS\system32\DRIVERS\afw.sys Проверка завершена 2. Проверка памяти Количество найденных процессов: 30 Количество загруженных модулей: 281 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Прямое чтение C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Прямое чтение C:\Documents and Settings\LocalService\Cookies\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\LocalService\NTUSER.DAT Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT Прямое чтение C:\Documents and Settings\postgres\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\postgres\NTUSER.DAT Прямое чтение C:\Documents and Settings\sergey\Cookies\index.dat Прямое чтение C:\Documents and Settings\sergey\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Прямое чтение C:\Documents and Settings\sergey\Local Settings\History\History.IE5\index.dat Прямое чтение C:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\index.dat Прямое чтение C:\Documents and Settings\sergey\NTUSER.DAT C:\Program Files\PostgreSQL\8.3\bin\oid2name.exe >>> подозрение на Trojan-Downloader.Win32.Small.dxv ( 0A339C95 06A296C4 003DF1D0 001C8081 31744) C:\Program Files\PostgreSQL\8.3\lib\chkpass.dll >>> подозрение на Trojan-Dropper.Win32.TopBind ( 0B8CA65F 03D360ED 003DF1D0 00000000 17920) Прямое чтение C:\Program Files\Spyware Terminator\sp_rsser.exe.ulog Прямое чтение C:\WINDOWS\SchedLgU.Txt Прямое чтение C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt Прямое чтение C:\WINDOWS\system32\config\default Прямое чтение C:\WINDOWS\system32\config\SAM Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt Прямое чтение C:\WINDOWS\system32\config\SECURITY Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt Прямое чтение C:\WINDOWS\system32\config\system Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Прямое чтение C:\WINDOWS\WindowsUpdate.log 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) c:\progra~1\agnitum\outpos~1\wl_hook.dll --> Подозрение на Keylogger или троянскую DLL c:\progra~1\agnitum\outpos~1\wl_hook.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 7 TCP портов и 9 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\agnitum\outpos~1\wl_hook.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >>> Разрешен автозапуск с HDD - исправлено >> Разрешен автозапуск с сетевых дисков >>> Разрешен автозапуск с сетевых дисков - исправлено >> Разрешен автозапуск со сменных носителей >>> Разрешен автозапуск со сменных носителей - исправлено Проверка завершена Просканировано файлов: 285889, извлечено из архивов: 190932, найдено вредоносных программ 0, подозрений - 2 Сканирование завершено в 11.12.2008 19:24:46 ! Внимание ! Восстановлено 38 функций KiST в ходе работы антируткита Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер Сканирование длилось 00:18:54 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Что скажешь? в пункте "8. Поиск потенциальных уязвимостей Безопасность: к ПК разрешен доступ анонимного пользователя" Подскажите как его отключить? Цитата Ссылка на сообщение Поделиться на другие сайты
iradov 21 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 к ПК разрешен доступ анонимного пользователя"Подскажите как его отключить? В реестре HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous у тебя равно 0. Присвой ему значение 2. Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 А логи лучше приложить самолечение - не всегда хорошее занятие ЗЫ. Кстати - логи лучше прикреплять как файл а не размещать портянку в самом посте Цитата Ссылка на сообщение Поделиться на другие сайты
Сержио 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 Kapral. Все логи сделал, а как их на этом форуме к письму приложить? Не могу понять! Такой функции в ответе почему-то не предлагают! Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 Используйте расширенную форму. =) Цитата Ссылка на сообщение Поделиться на другие сайты
Сержио 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 Просьба помочь! Высылаю логи. Посмотрите все ли нормально на моем компе.Третий файл ( с расширением hijackthis.log) система форума мне почему-то грузить не дает пишет -"Неудачная загрузка. Вам запрещено загружать такой тип файлов!" Так-что пришлось его заархивировать. Вы уж не обессудьте. Из программ стоит Касперский, Outpost, SpyWare Terminator, Spybot - Search & Destroy. Мне тут один человек на другом сайте подсказал такую вещь, что он сталкивался с такой проблемой и долго ее решал. Сказал посмотреть есть ли у меня файл ghg24.sys в РЕЕСТРЕ (только в реестре, в файлах на С:\ его нет). Если есть то у тебя сказал сидит руткит. Но помочь мне категорически отказался. И этот файл действительно у меня в реестре есть! Проверил свой комп на работе, там такого файла в реестре нет. Жду от вас комментариев моих логов. Помогите пожалуйста. P/S – да, программа PostgresSQL это не вирус а лицензионная программа. Зарнее благодарю! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 13 декабря, 2008 Share Опубликовано 13 декабря, 2008 Из программ стоит Касперский, Outpost, SpyWare Terminator, Spybot - Search & Destroy. Ну и зоопарк Цитата Ссылка на сообщение Поделиться на другие сайты
Сержио 0 Опубликовано 13 декабря, 2008 Автор Share Опубликовано 13 декабря, 2008 "Ну и зоопарк" в смутное время живем, кругом одни вирусы, приходиться перестраховываться В реальном режиме работают только Касп, Outpost, SpyWare Terminator. Kapral, подскажи когда примерно дадут ответ по состоянию моего компа (по моим логам)? Заранее благодарю тебя дружище! P\S Да и что думаешь по файлу в реестре ghg24.sys? Скажи, уж больно интересно что это за файл. Сидит он вот здесь - HKEY_USERS\S-1-5-21-1409082233-362288127-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603 Цитата Ссылка на сообщение Поделиться на другие сайты
iradov 21 Опубликовано 13 декабря, 2008 Share Опубликовано 13 декабря, 2008 Да и что думаешь по файлу в реестре ghg24.sys? Скажи, уж больно интересно что это за файл. Сидит он вот здесь - HKEY_USERS\S-1-5-21-1409082233-362288127-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603 Можешь успокоить паранойю - в этой ветке ничего не сидит. То что тебя напугало всего лишь ключ с названием имени файла который ты же сам и искал ранее с помощью поисковика винды. Для эксперимента - если поищешь через поисковик "СамыйСтрашныйВирус.ехе", то получишь в реестре куда более устрашающие ключи Цитата Ссылка на сообщение Поделиться на другие сайты
Сержио 0 Опубликовано 14 декабря, 2008 Автор Share Опубликовано 14 декабря, 2008 Так давно над собой я давно не смеялся Спасибо iradov. А ответа от Kaprala я все жду........... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.