Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Атака с разных айпи на один и тот же порт (http://forum.oszone.net/showthread.php?t=179501)

CracKmaniac 30-06-2010 14:59 1444557
Атака с разных айпи на один и тот же порт
 
Вложений: 1
скрин:
переподключение не помогает. если быть точнее, выбирается другой порт и атака производится на него.

у меня есть подозрение, что это как-то связано с svchost.exe

то что он не относится к сервисным и не имеет название выглядит немного странно
ещё он делает странные запросы(я проверил по PID) на hosted-by.ecatel.net: 80, и вот такое:

+
из лога аутпоста
Код:
2010/06/30 17:54:55  [SVСHОST.EXE:800] block start dde session "IExplore" [00096540]
PID совпадает с подозрительным

также я по этому случаю сделал проверку AVZ

Заключение: кто-либо сталкивался с такой проблемой? как лечить?
возможно из-за этого у меня иногда провисает на пару секунд комп и редкие рандомные ребуты...

help? 30-06-2010 15:36 1444587
Здравствуйте.Выполните правила:
http://forum.oszone.net/thread-98169.html
Также перед созданием логов обновите базы авз(если обновлятся)-Файл/Обновление баз/пуск
Нужно приложить такие архивы, как:
virusinfo_syscure.zip и virusinfo_syscheck.zip
А также HiJackThis.zip

CracKmaniac 30-06-2010 17:24 1444667
Вложений: 2
кол-во проблем уменьшилось)
спустя некоторое время после создания темы я решил перепроверить папку system32
оказалось, что там два svchost.exe файла, и у второго буква 'c' русская. завершил, удалил его, убрал из реестра в 2ключах запуск этого фальшивого сервиса и всё стало ок. атаки на порты пропали

появилась (хотя скорее она и была раньше) другая проблема (проблема ли?)
svchost, уже обычный, посылает изредка запросы на spynettest.microsoft.com. это нормально?
добавил логи avz, hijack, malwarebytes

iskander-k 30-06-2010 19:39 1444742
Цитата:
Цитата CracKmaniac
svchost, уже обычный, посылает изредка запросы на spynettest.microsoft.com. это нормально? »
Цитата:
Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet – это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.
HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=userinit.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

В МБАМ выберите удаление всего что там найдено кроме


Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Файл hosts вы сами правили ?

и проверьтесь утилитой Zbot Killer


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\Schedule исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'Schedule.log');
end.

CracKmaniac 30-06-2010 20:37 1444780
спасибо за информацию и за помощь
всё сделал, Zbot Killer показывает, что всё чисто, hosts правил давно с помощью Spybot Search & Destroy
если архив карантина нужен, я его залил сюда - http://slil.ru/29414990 (места для прикреплений не хватает)

уточню, что флуд пакетами на один и тот же порт появляется и исчезает. видимо это всё-таки дело в том, что мне после переподключения иногда достаётся "загаженный" айпи
или я не прав?

iskander-k 30-06-2010 20:49 1444786
У вас была еще загажена вирусом записью F:\windows\F:\windows\System32\svchost.exe от службы
Schedule. скрип её исправляет. Ну и МБАМом надо было дочистить.

Лог Schedule.log присоедините.

Нужно ещё обновить АВЗ новые логи сделать.

CracKmaniac 30-06-2010 21:20 1444812
Вложений: 1
Schedule
Код:
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\Schedule исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\Schedule исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\Schedule исправлено на оригинальное.
логи от avz в виде двух архивов? если нужны такие, то они будут завтра
прикрепил лог с быстрого скана, на него нашлось время

iskander-k 30-06-2010 21:45 1444825
Нужны логи в виде двух архивов - сделанные заново.

thyrex 30-06-2010 21:47 1444827
Цитата:
Цитата CracKmaniac
логи от avz в виде двух архивов? если нужны такие, то они будут завтра »
Можно только virusinfo_syscheck.zip
Он быстро сделается

CracKmaniac 01-07-2010 11:00 1445084
готово

thyrex 01-07-2010 11:30 1445119
Выполните скрипт
Код:
begin
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Schedule','Start', 2);
end.
Перезагрузитесь и сделайте лог virusinfo_syscheck.zip

CracKmaniac 01-07-2010 11:45 1445133
сделано

thyrex 01-07-2010 11:48 1445135
Теперь порядок в логе. Проблема решена?

CracKmaniac 01-07-2010 11:55 1445140
а что в ветке связанной с Schedule было в моей системе не так? хотелось бы узнать, для общего развития так сказать)
наверно да, но вообще я смотрю, что пакеты всё также как приходили на один и тот же порт так и приходят. но иногда смена адреса помогает)

thyrex 01-07-2010 12:03 1445146
Тип запуска службы был выставлен не тот, который полагается


Время: 07:53.

Время: 07:53.
© OSzone.net 2001-