Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Что-то поймал. Нужна помощь!

Ответить
Настройки темы
Что-то поймал. Нужна помощь!
iShvedsky


Сообщения: n/a

Профиль | Цитировать

Конфигурация:
OS - WinXP Pro (IIS, SQL Server)
LAN - "голый" ADSL
FireWall - Agnitum Outpost Pro 2.1

FireWall стоял в режиме обучения и при обращении извне по TCP 1433 я промахнулся по кнопке и вместо Block Once нажал Allow Once. SVCHOST.EXE сразу ушёл  в GPF. И через некоторое время Outpost поймал исходящее соединение от INETINFO.EXE куда-то в зону .it Сообразив, что я что-то хапнул, обновил Outpost, AVP, XP по максимуму, SQL Server до SP3a.
Похоже, не помогло - Outpost продолжает ловить исходящие соединения от SVCHOST.EXE.
И уже фиг поймёшь, то ли от заразы, то ли от усиленного обновления, но в Task Manager в списке запущенных процессов только у System Idle Process указан User Name как SYSTEM, у всех остальных процессов User Name стоит "пустая строка"!

Смотрел реестр, вроде ничего подозрительного, но насторожила строчка в USER и MACHINE в ключе Run появилась запись Microsoft Services lsrv.exe без указания путей к экзешнику. Сам файл lsrv.exe поиском на диске не находится. Сходил на symantec, вроде зараза похожа на Goabot, но их програмка по ловле этого Goabot'а ничего не нашла.

Очень не хочется переставлять систему - наставлено куча всега да и времени куча уйдёт, а у меня заказ горит. Помогите, пожалуйста, советом или линком!

Отправлено: 15:19, 08-07-2004

 


Administrator


Сообщения: 25151
Благодарности: 3803

Профиль | Сайт | Отправить PM | Цитировать

Похоже на SdBot который позволяет управлять компьютером-жертвой удалённо, посылая команды через каналы IRC
Если он, то создает в папке Windows файл LSRV.EXE и прописывается в
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
параметром Microsoft Services = "LSRV.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Services = "LSRV.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Services = "LSRV.EXE"
Использует брешь в защите описанную в боллетене:
http://www.microsoft.com/technet/sec.../MS03-026.mspx
http://www.microsoft.com/technet/sec.../MS02-061.mspx
http://www.microsoft.com/technet/sec.../MS03-007.mspx
Использует порт 6667 (порт mIRC) и выходит на определенный канал ожидая команд типа:
загрузить свою же модификацию
загрузить и запустить файл
вход на какой-либо сайт и т.д.
Собственно если это он, то должен быть в процессах, останавливаем процесс, удаляем файл, чистим реестр (и в службах смотрим), закрываем порт 6667

-------
FAQ по Windows 10 .::. Настройка Центра обновления в Windows 10 .::. Чистая установка Windows 10 – пошаговая инструкция

Отправлено: 15:45, 08-07-2004 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

iShvedsky


Сообщения: n/a

Профиль | Цитировать

Ветки из реестра прибил:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Кстати, подобная запись ещё была в HKEY_USERS. Её тоже снёс.
Файл lsrv.exe удалить не смог - нет его на диске. Чертовщина какая-то!

Проверил, чем смог:
-Онлайн (ActiveX) антивирусами от Symantec & TrendMicro
-Локально AVP, NOD32 и Stinger'ом от McCafee
-Прогнал прграммамим Tauscan, Ad-Aware и SpyBot
Ничего не нашли они - только кривые кукии всё.

Несанкционированные исходящие соединения прекратились. по порту 6667 активности нет.
Но TaskManager остался в "кривом" виде - не показывает акаунт под которым процесс запущен.
Outpost продолжает ловить ВХОДЯЩИЕ соединения к SVCHOST.EXE по TCP порту 1025 с кучи разных неповторяющихся IP'ишников.
Может этот TCP 1025 закрыть нафиг и не мучаться?

Вообщем, не понял я ничего. Таки заражён я или нет? Предпринимать какие-либо ещё усилия или нет? Подскажите, пожалуйста.

Отправлено: 03:36, 11-07-2004 | #3


Аватара для UZER

Товарищ


Сообщения: 1467
Благодарности: 4

Профиль | Отправить PM | Цитировать

iShvedsky
Входящих соединений не должно быть однозначно. У меня svchost'у разрешено только ИСХОДЯЩЕЕ с time-сервером windows для синхронизации часов. Больше я его никуда не пускаю.

-------
Жизнь-игра. Сюжет хреновый, но графика обалденная!

Отправлено: 09:32, 11-07-2004 | #4



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Что-то поймал. Нужна помощь!

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интернет - [решено] Что-то блокирует доступ в инет... Нужна СРОЧНАЯ помощЬ!!! TrinitronZnet Microsoft Windows 2000/XP 8 17-08-2009 22:29
Нужна помощь по ADSL, каждый раз нужно регаться на IPS для того что бы зайти в нет,.. DreDo Хочу все знать 2 07-01-2009 01:05
что делать с процессором, и компутером в целом, очень нужна помощь! новичек Процесcоры 33 04-09-2008 19:33
Нужна помощь!!! enotkin Непонятные проблемы с Железом 15 06-12-2005 07:36
Нужна помощь! Zuper Looper Microsoft Windows 2000/XP 7 19-10-2002 21:00


« Предыдущая тема | Следующая тема »


 
Переход