Помогите остановить службу BITS

11 декабря, 2008

Приветствую, други! Помогите, чем сможете.

Проблема моя заключается вот в чем.

На момент события на компе стоял Касперский, Outpost.

Полмесяца назад скачивал файлы с внутренней сетки в нашем городе, для того чтобы туда войти пришлось отключить свой Outpost, т.к. заход в сетку шел напрямую по IP-адресу.

Короче после этого системный файл Svchost (пишется файл именно так и он находится в папке Windows\System32, т.е. это не вирус) стал просит соединение (об этом сигнализирует Outpost) с компом какого-то человека с нашей сети - "oleg9.название нашей сети.ru". Звонил админам этой сети и они подтвердили мои слова, что это чей-то комп в сети. Если "запретить соединение навсегда", то пропадает Интернет. Также комп получает какие пакеты с других компов сети и ИНОГДА их отсылает 45. Короче каждый раз при включении компа приходится "блокировать однократно", благо у Outpost есть такая функция.

Начал проводить анализ посмотрил какой РID у этого svchost. Для этого установил классную прогу ProcessExplorer, она показывает какой процесс за что отвечает и сколько он жрет памяти в реальном времени. Эта прога показала, что под этим PID сидят порядка 25-30 процессов. Все процессы Windowские - проверял, типа AudioSrv, Dhcp, Browser и т.п.

Короче читал в Инете - куча всякой инфы и начал искать какой процесс из этих 30 просится. Начал потиноньку отключать те, которые можно отключить. Прочитал в Инете и ужаснулся, оказывается на момент события служба RemoteRegistry (удаленный реестр) - "позволяет удаленным пользователям изменять параметры реестра на моем компе" - была в положении АВТО (проклятые разработчики нет чтоб сразу при установке Винды сразу сама отключалась, а то в положении Авто и никто об этом незнает!)

Вчера нашел службу, кот. просится через svchost на другой комп и общается с другими компами - это служба BITS. Как обнаружил, а вот как я ее отключил. С момента отключения (захожу в Администрирование - Службы - Фоно. Интел. служба предачи - "Отключить" и тут же в программе ProcessExplorer нахожу мой svchost и эту службу и останавливаю её) до момента перезагрузки на комп никто не посылает запросо и мой комп ничего лишнего не посылает.

Но самое страшное происходит после перезагрузки - он снова появляется и сам становиться в положение "Авто".

Побовал отключать в реестре HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\BITS - файл Start ( тип REF_DWORD) ставлю в положение 4, т.е. отключить. Но после перезагрузки все возвращается на свои места.

Что делать ума не приложу! Подскажите?!

P.S. Пока при каждой загрузке нахожу эту службу и её останавливаю, но это уже порядком понадоело.

Да забыл сказать Касперский вирусов не видет. Установил Ad-Aware (эта прога проверяет реестр на вирусы и шпионские изменения), так она нашла два вируса но в других папках и то они не авто загружаемые.

11 декабря, 2008

BITS - это служба интелектуальной закачки файлов, работает вместе с автоматическим обновлением

Попытайтесь отключить службу автоматического обновления

Отключать эти 2 службы лучше через

Администрирование - Службы

Кстати - что нашло Ad-AWare?

11 декабря, 2008

BITS - это служба интелектуальной закачки файлов, работает вместе с автоматическим обновлением
Попытайтесь отключить службу автоматического обновления

Отключать эти 2 службы лучше через

Кстати - что нашло Ad-AWare?

Нашло какой-то троян в Crack, котороый я скачал еще год назад и не разу его не открывал, а название второго скажу завтра. Сейчас не помню.

Эти две службы BITS и Update я отключал вместе через Адиминистрирование. Но все равно не помогает!

Изменено 11 декабря, 2008 пользователем Kapral
Поправил тэги

11 декабря, 2008

Если эти вирусы остались , то выложите их на http://www.virustotal.com/ru/ и сюда ссылку

А по поводу автозапуска служб

Сделайте логи. Ссылка у меня в подписи (п.1)

Изменено 11 декабря, 2008 пользователем Kapral
Поправил неверную ссылку

11 декабря, 2008

-

Изменено 11 декабря, 2008 пользователем sergio342

12 декабря, 2008

Привет друзья Kapral и sergio342!

Програмитсы нашей фирмы посоветовали прогнать комп через три антивира (говорят что это дает 99% гарантии), установил три антивира и прогнал свой комп. Сначала AVZ, потом DRweb, потом Spybot search&destroy.

Правда немного ступил

и в AVZ поставли поставил дополнительную галочку в графе "Автоматически исправлять ошибки в SPI/LS" (в разделе "Проверять настройки SPI/LS")

и доп.галочки "Блокировать работу Rootkit User-Mode" и "Блокировать работу Rootkit Kernel-Mode".

..."Функция NtDeleteValueKey (41) перехвачена (805969F3->A957536C), перехватчик J:\WINDOWS\system32\drivers\SandBox.sys

Функция NtLoadDriver (61) перехвачена (805B97A1->A9575D38), перехватчик J:\WINDOWS\system32\drivers\afw.sys

Функция NtOpenFile (74) перехвачена (8057D538->A95757D0), перехватчик J:\WINDOWS\system32\drivers\sp_rsdrv2. sys

И что-то там еще нашел (наверное интересное)... Отчет дома забыл.

После перезагрузки у меня перестал работать Касперский ( в режиме реального времени) и OutPost.

Пришлось их заново переустанавливать.

DRWeb и Spybot search&destroy. Ничего не нашли.

Забыл сказать, что посмотрел сегодня инфу про эти файлы в Инете.

afw.sys, SandBox.sys - это OutPost

sp_rsdrv2.sys - это мой новый антивирус SpyWave Terminator

Но самое приятное, что после этого BITS я все таки отключил и левых соединений больше нет!

Отчет о проверке AVZ забыл дома, с обеда выложу его на форуме. Посмотрите?

забыл сказать, что для проверки всеми этими прогами отключал "восстановление системы".

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 11.12.2008 19:05:53

Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09

Загружены микропрограммы эвристики: 370

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 70476

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: Отключено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883FC4

Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован

>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !)

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FD3

Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован

>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !)

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FF1

Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FE2

Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован

Детектирована модификация IAT: LoadLibraryA - 7C883FC4<>7C801D77

Адрес в IAT восстановлен: LoadLibraryA

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[10091462]

>>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован

Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1009148E]

>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован

Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10091176]

>>> Код руткита в функции EndTask нейтрализован

Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[100910F2]

>>> Код руткита в функции ExitWindowsEx нейтрализован

Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1009111E]

>>> Код руткита в функции SetForegroundWindow нейтрализован

Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1009114A]

>>> Код руткита в функции SetWindowPos нейтрализован

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08A500)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80561500

KiST = 85E36008 (297)

>>> Внимание, таблица KiST перемещена ! (804E48B0(284)->85E36008(297))

Функция NtAssignProcessToJobObject (13) перехвачена (805A96CC->F3403830), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys