Вопрос по процессу system

chek · Отправлено: **10:11, 10-12-2007** | #2

Цитата 12341234:

отсылает пакеты »

куда и кем обнаружилось??

12341234 · Отправлено: **12:09, 10-12-2007** | #3

Сам процесс отсылает с адреса 192.168.1.2(мой адрес в настройках подключения к сети) с портов 137 и 138,на адрес 192.168.1.255 на эти же порты(причем иногда это совпадает именно с открытием текстовых файлов).
При этом же процесс svchost тоже пытается отсылать и принимать,но тот уже на разные адреса и порты.
Обнаружилось сначало outpostom,потом comodo firewall. щас оба удалил так как вызывают жуткий тупняк при работе в сети(а оутпост и тупняк компа в целом

),просто интересно нормальное ли это поведение. И чем можно провериться.

Pili · Отправлено: **13:32, 10-12-2007** | #4

Скорее всего это броадкасты, с вирусами не связано. На всякий случай можете провериться с помощью CureIT, выполнить в AVZ - стандартный скрипт 2 и сделать лог HijackThis, выложить полученные логи (zip файлы)

12341234 · Отправлено: **15:09, 10-12-2007** | #5

Выложить вот это avz_sysinfo.xml ?

Подозрительно на мой взгляд вот.....

Функция NtCreateKey (29) перехвачена (80577284->B1E92C40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
и куча подобных строк.
Однако в графе "производитель" самого файла значиться касперский(на машине стоит KAV 6).

Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C8EFFEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C8EFF9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C8EFFB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C8EFFD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C8EFFC4
Детектирована модификация IAT: LoadLibraryA - 7C8EFF9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C8EFFEC<>7C80ADA0
(без понятия)

C:\Program Files\DAEMON Tools\SetupDTSB.exe >>>>> AdvWare.Win32.SaveNow.bo
C:\Program Files\WinRAR\rar.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\WinRAR\winrar.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\System Volume Information\_restore{45063B8E-FD07-4288-9E2A-D87DAD60B7EB}\RP10\change.log
К этому бы пояснения неплохо.

Сам AVZ ещё ищет...
HijackThis смотрел,все ок(сравнивал со старым логом),CureIT думаю это примерно тоже что и каспер.

Pili · Отправлено: **15:51, 10-12-2007** | #6

12341234, нет не xml
1. Cкачайте утилиту CureIT и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3 Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
7. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

12341234 · Отправлено: **16:22, 10-12-2007** | #7

Сделал со 2го шага.Интернет при этом сразу после обновления отключил.
(вложение удалено)

Pili · Отправлено: **16:57, 10-12-2007** | #8

Выполнить скрипт

Цитата:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\CurrentLogoUI.exe','');
QuarantineFile('C:\WINDOWS\VM305_STI.EXE','');
BC_DeleteFile('C:\Documents and Settings\Валера\Рабочий стол\crack fly2000\WarezP2P_ADR.exe');
BC_DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_LogFile(GetAVZDirectory + 'boot_del.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

пофиксить в HJT

Цитата:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

Карантин выложить на файлообменник (напр ifolder.ru), ссылку - в сюда или лучше в ПМ

12341234 · Отправлено: **17:28, 10-12-2007** | #9

Возникло пару вопросов:
'C:\WINDOWS\system32\CurrentLogoUI.exe'
Это мой экран приветствия виндовс.

С:\WINDOWS\VM305_STI.EXE
Это драйвер от веб камеры.

'C:\Documents and Settings\Валера\Рабочий стол\crack fly2000\WarezP2P_ADR.exe'
Это было транзитом через комп(на него и каспер ругнулся),уже стер не запуская.Просто обещал похранить и отдать...

Хотелось бы чтобы пояснили смысл данных действий и опасность данных файлов.
Вообщем пока ограничился скриптом

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_LogFile(GetAVZDirectory + 'boot_del.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

O4 - HKLM\..\Run: [ScanRegistry] C:\W
Это висит там с самой установки винды по этому пути нет абсолютно ничегошеньки.(я замечал-после установки дров появляеться всегда)

И ещё-лог в архиве я могу стирать с форума ?

Pili · Отправлено: **17:50, 10-12-2007** | #10

Цитата 12341234:

Хотелось бы чтобы пояснили смысл данных действий и опасность данных файлов. »

Если вы знаете эти файлы, то оставьте.
H@tKeysH@@k.DLL - кейлоггер
По фиксу O4 - HKLM\..\Run: [ScanRegistry] C:\W - это косметика, чтоб не висело лишнее.
Логи можно стирать.