Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус? Постоянная отправка данных с машины (svchost)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
Сразу о проблеме - три компа с WinXp SP2 через четыррехпортовый Zyxel ADSL подключены к Интернету.  
Один из судя по показаниям виндов постоянно жрет траффик, причем отправляет больше, чем получает.
Ни один из файрволов не видит ни объёма трафика, ни процессов кроме svchost (штук 5) без родителей.
На машине установлено несколько бухгалтерий, банк-клиент, отчетность и прочая лабуда по нескольким предприятиям,
поэтому переставлять систему очень не хочется. Машина просканирована несколькими антивирями, к нужному результату
не привело. Программы для исследования портов пока не помогают, хотя у меня  и не хватает квалификации.
В свойствах сетевого подключения цифры щелкают, причем довольно быстро, ни файрвол (тоже менял несколько), ни другие
программы ничего похожего не показывают. Ведь сидит кто-то в машине, а никак взять не могу.
Да, забыл. Это точно Инет, при отключении других машин ситуация та же.



за неинформативное название темы, исправлено. /emx/
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 15:32 27-11-2007 | Исправлено: emx, 20:11 27-11-2007
mmt



Junior		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sikosnakos
 и тот же outpost ничего не показывает??? Быть не может.
Цитата:
На машине установлено несколько бухгалтерий, банк-клиент, отчетность и прочая лабуда по нескольким предприятиям
А ты уверен, что ничего из этого не лезет?

Цитата:
Машина просканирована несколькими антивирями, к нужному результату
не привело.
DrWeb и каспер с последними базами, али что из бесплатных да старых?
 


----------
Все страньше и страньше...
Всего записей: 1058 | Зарегистр. 25-09-2001 | Отправлено: 16:23 27-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Антивирь полный курс NOD32. Сейчас я дома. В офисе BitDefender работает. Утром дам результаты. Он находит получше чем Каспер. Outpost ставлю только дома, на работе сеть тормозить начинает. Стоял ZoneAlarm, потом Comodo, теперь опять же BitDefender. Никто ничего (((
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 16:48 27-11-2007
SEMENYCH



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
могу посоветовать посмотреть соединения компа с помощью TCPView. в принципе, там все просто и наглядно
Всего записей: 120 | Зарегистр. 28-01-2002 | Отправлено: 17:13 27-11-2007
sithius82



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sikosnakos
просканировать всё NOD'ом подчистую. Судя по ситуации (больше по отправке, чем по получению) - вполне возможно наличие какой-то дряни. BitDefender - не лучший вариант, NOD - более оптимальный вариант, на мой взгляд. Пусть у него и больше количество ложных срабатываний, но всё-таки вылавливает он больше. Рекомендуется при проверке иметь NOD с последними базами данных.  
 
Наводящий вопрос - провайдер не ругался, что с этого Zyxel'а идёт большое количество DNS-запросов ?
Всего записей: 84 | Зарегистр. 18-04-2006 | Отправлено: 17:18 27-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У нас в KZ провайдер - крупнейшая телефонная компания, монополист прктически, гос.контора. От ни ничего не дождешься. По поводу BitDefendera это дело вкуса. 23 проверял комп NOD32 со свежими базами, потом все выключено. Сегодня BitD за 10 минут нашел два виря, которые NOD пропустил. Но это не суть. Завтра выкину все по портам, все картинки.  
В любом случае спасибо за ответы. Есть немного WebMoney))
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 17:24 27-11-2007
cf4w

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Значит так.
 
Заранее прошу присутствующих без холиваров, я люблю и уважаю NOD32, сам его часто использую, но: увы, в последнее время он начал часто лажать на предмет детекта зловредов на заражённых машинах. К BitDefender - те же претензии. Плюс, надо учесть, что поиск зловредов на заражённых машинах - задача вообще не тривиальная.
 
Что делаем: для начала, предоставляем на всеобщий суд лог AVZ. Для этого:
1. Качаем AVZ с www.z-oleg.com
2. Запускаем ея.
3. Идём в меню "Файл" - "Стандартные скрипты". Отмечаем скрипт "Скрипт сбора информации для раздела 'Помогите!' сайта virusinfo". Выполняем его. Если в папке "log" файл "virusinfo_syscheck.htm" имеет небольшой размер, пости его содержимое из браузера сюда (надеюсь, никаких правил не нарушим?). Если там много строк, пришли virusinfo_syscheck.zip мне на cf4w[тяф!]mail.ru, посмотрю, а сюда, для общественности, отпощу только значимое.
 
Посмотрев логи, сделаю вывод о том, где может сидеть зловред, и как его лечить. И чем, ибо я ещё не встречал антивируса, способного автоматически вылечить <i>любой</i> из известных ему вирусов.
Всего записей: 55 | Зарегистр. 15-07-2007 | Отправлено: 22:08 27-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Выложу данные в районе 11.00 мск
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 07:16 28-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (579) перехвачена, метод APICodeHijack.JmpTo[10003086]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:accept (1) перехвачена, метод APICodeHijack.JmpTo[10002F26]
Функция ws2_32.dll:bind (2) перехвачена, метод APICodeHijack.JmpTo[10003016]
Функция ws2_32.dll:closesocket (3) перехвачена, метод APICodeHijack.JmpTo[10003056]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[10002D96]
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo[10002D66]
Функция ws2_32.dll:listen (13) перехвачена, метод APICodeHijack.JmpTo[10002A56]
Функция ws2_32.dll:recvfrom (17) перехвачена, метод APICodeHijack.JmpTo[10002C96]
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[10002A96]
Функция ws2_32.dll:sendto (20) перехвачена, метод APICodeHijack.JmpTo[10002D06]
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод APICodeHijack.JmpTo[10003B26]
Функция rasapi32.dll:RasDialW (22) перехвачена, метод APICodeHijack.JmpTo[10003CB6]
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
.......................
1.4 Поиск маскировки процессов и драйверов
 Поиск маскировки процессов и драйверов завершен
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 14:21 28-11-2007
mmt



Junior		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sikosnakos
 Вот же любишь извраты - прогони этой утилитой , да и зайцевским ативирусом прогони по полной.  
 
Цитата:
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[10002A96]

Это уже хуже. И похоже, что ты все же подцепил заразу.

----------
Все страньше и страньше...
Всего записей: 1058 | Зарегистр. 25-09-2001 | Отправлено: 14:53 28-11-2007
andrejvb

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sikosnakos
А теперь прогони AVZ и CureIt в безопаснм режиме и будет тебе щастье
Цитата:
Функция rasapi32.dll:RasDialA (21) перехвачена
Это, кстати, тоже похоже на червяк.
Обрати внимание на проверку Winsocks. Там не должно быть ничего лишнего!
Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 15:12 28-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На сегодня работу закончил, оставил AVZ работать, правда не в safe mode. Завтра с утра займусь. У нас МСК+2, поэтому думаю к обеду закончить.
Весь лог AVZ могу скинуть интересующимся.
Спасибо.
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 15:30 28-11-2007
FantOS



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще неплохой вариант решения проблемы: возьми винт с "зараженной" машинки и подцепи к заведемо чистой тачке с нодом и пройдись проверочкой, особое внимание удели папке \WINDOWS\system32\drivers\.
А сперва можно прогнать утилиткой RootkitRevealer и обратить внимание на строчки со словами Hidden from Windows API. (опционально)
Всего записей: 94 | Зарегистр. 19-05-2006 | Отправлено: 15:33 28-11-2007
andrejvb

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sikosnakos

Цитата:
правда не в safe mode

Напрасно. Или ничего не найдёт, или не сможет удалить.
Всего записей: 1838 | Зарегистр. 16-12-2005 | Отправлено: 15:52 28-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Теперь утром. До работы далеко.
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 15:57 28-11-2007
cf4w

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нашёл скотинку. Действительно вирь.
 
Делаешь следующее:
 
В AVZ говоришь "Файл" - "Выполнить скрипт". Туда вставляешь следующее:
 
begin
 SetAVZGuardStatus(True);
 SearchRootkit(true, true);
 DeleteFile('Gqf47.sys');
 DeleteFile('\SystemRoot\system32\SetupNT.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
 
Выполняешь скрипт. Машина очистится и перезагрузится. После перезагрузки, качай Dr.Web CureIt! и проверяй им всю машину - должен, теоретически, найти ошмётки заразы и поубивать их.
 
Отпишись о результатах.
Всего записей: 55 | Зарегистр. 15-07-2007 | Отправлено: 00:11 29-11-2007
YuraH



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Никакого безопасного режима. Нести винт на другую машину или качать с сайта Dr.Web-a LiveCD и проверять с него. А если не хочется регистрироваться, то любой другой LiveCD со свежими антивирусами. AVZ обязательно. А то "хороший" руткит себя так просто не покажет.
Всего записей: 1714 | Зарегистр. 14-07-2004 | Отправлено: 00:29 29-11-2007
cf4w

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"Хороший" руткит и антивирусами не детектится, потому что под конкретного "клиента" написан, по Сети не разошёлся, и в вирлабы не попал. Мы же предполагаем, что зараза тут вполне обычная, тем более, что все признаки говорят именно об этом.
 
Тем более, что у LiveCD и проверки на другой машине есть крупный недостаток: файлы-то заражённые поубиваем, но реестр вычищен не будет. И сидишь потом, чистишь все ошмётки зловреда по часу... Тогда как приличные антивирусы (Dr.Web, KAV, NAV) давно уже умеют аккуратно вычищать из системы всё, связанное с найденной заразой.
Всего записей: 55 | Зарегистр. 15-07-2007 | Отправлено: 02:07 29-11-2007 | Исправлено: cf4w, 02:07 29-11-2007
Sikosnakos

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После исполнения скрипта запустил CureIt. Быстрая проверка ничего не дала.
Зато сразу заверещал BitDefender.
 
c:\windows\system.32\drivers\symavc32.sys            Trojan.Srizbi.AB
c:\windows\system.32\drivers\gqf47.sys                   Trojan.Srizbi.AB
c:\windows\system.32\drivers\asc3550.sys               Trojan.Proxy.Saturn.A
c:\windows\system.32\drivers\vde0nzkz.sys             TrojanAgent.AFQN
 
Их же следы в c:\system volume information плюс Worm.Win32.VB.BV и Packer.FSG.A и Generic.Banker.Delf.4D2DA3ED
 
Доступ к ним BD заблокировал.
 
Запустил RootkitRevealer. Ничего страшного кроме
c:windows\system32\ujeonzkz.sys       Пишет visible in Windows API, but not in MFT or directory index
 
Сейчас запустил CureIt по полной, потом полностью прогоню BitDefender.  
Это надолго. Как закончу отпишусь.
 
Добавлено:
CureIt
 
c:\windows\system32\autorun.inf                  Trojan.Uhospy             Удалён
 
Пустил BitDefender
Всего записей: 10 | Зарегистр. 27-11-2007 | Отправлено: 09:15 29-11-2007
YuraH



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cf4w 00:07 29-11-2007
Цитата:
вирлабы не попал.
Ну это уже паранойя, а я о другом.
Цитата:
файлы-то заражённые поубиваем, но реестр вычищен не будет.
Попадалась у коллег пару раз зараза, что и в безопасном режиме пряталась. Так что лучше поймать и чистить реестр руками, чем вообще ничего не найти.
 
Sikosnakos
Цитата:
Их же следы в c:\system volume information  
А вот восстановление на период шторма лучше отключить.
Всего записей: 1714 | Зарегистр. 14-07-2004 | Отправлено: 14:53 29-11-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус? Постоянная отправка данных с машины (svchost)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru