Вопрос по процессу system
 

Начал проверять систему на присутствие троянов и прочего. Обнаружилось что порцесс system отсылает пакеты по 200-300байт. Кроме того при установке повышенной защиты в KAV6 стало появляться сообщение что данный процесс пытаеться в лезьть в процесс касперского. Это нормальное поведение ?

куда и кем обнаружилось??

Сам процесс отсылает с адреса 192.168.1.2(мой адрес в настройках подключения к сети) с портов 137 и 138,на адрес 192.168.1.255 на эти же порты(причем иногда это совпадает именно с открытием текстовых файлов).
При этом же процесс svchost тоже пытается отсылать и принимать,но тот уже на разные адреса и порты.
Обнаружилось сначало outpostom,потом comodo firewall. щас оба удалил так как вызывают жуткий тупняк при работе в сети(а оутпост и тупняк компа в целом :( ),просто интересно нормальное ли это поведение. И чем можно провериться.

Скорее всего это броадкасты, с вирусами не связано. На всякий случай можете провериться с помощью CureIT, выполнить в AVZ - стандартный скрипт 2 и сделать лог HijackThis, выложить полученные логи (zip файлы)

Выложить вот это avz_sysinfo.xml ?


Подозрительно на мой взгляд вот.....

Функция NtCreateKey (29) перехвачена (80577284->B1E92C40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
и куча подобных строк.
Однако в графе "производитель" самого файла значиться касперский(на машине стоит KAV 6).

Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C8EFFEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C8EFF9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C8EFFB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C8EFFD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C8EFFC4
Детектирована модификация IAT: LoadLibraryA - 7C8EFF9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C8EFFEC<>7C80ADA0
(без понятия)

C:\Program Files\DAEMON Tools\SetupDTSB.exe >>>>> AdvWare.Win32.SaveNow.bo
C:\Program Files\WinRAR\rar.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\Program Files\WinRAR\winrar.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\System Volume Information\_restore{45063B8E-FD07-4288-9E2A-D87DAD60B7EB}\RP10\change.log
К этому бы пояснения неплохо.

Сам AVZ ещё ищет...
HijackThis смотрел,все ок(сравнивал со старым логом),CureIT думаю это примерно тоже что и каспер.

12341234, нет не xml
1. Cкачайте утилиту CureIT и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3 Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
7. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Сделал со 2го шага.Интернет при этом сразу после обновления отключил.
(вложение удалено)

Выполнить скрипт
пофиксить в HJT
Карантин выложить на файлообменник (напр ifolder.ru), ссылку - в сюда или лучше в ПМ

Возникло пару вопросов:
'C:\WINDOWS\system32\CurrentLogoUI.exe'
Это мой экран приветствия виндовс.

С:\WINDOWS\VM305_STI.EXE
Это драйвер от веб камеры.

'C:\Documents and Settings\Валера\Рабочий стол\crack fly2000\WarezP2P_ADR.exe'
Это было транзитом через комп(на него и каспер ругнулся),уже стер не запуская.Просто обещал похранить и отдать...

Хотелось бы чтобы пояснили смысл данных действий и опасность данных файлов.
Вообщем пока ограничился скриптом

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_LogFile(GetAVZDirectory + 'boot_del.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.


O4 - HKLM\..\Run: [ScanRegistry] C:\W
Это висит там с самой установки винды по этому пути нет абсолютно ничегошеньки.(я замечал-после установки дров появляеться всегда)

И ещё-лог в архиве я могу стирать с форума ?

Если вы знаете эти файлы, то оставьте.
H@tKeysH@@k.DLL - кейлоггер
По фиксу O4 - HKLM\..\Run: [ScanRegistry] C:\W - это косметика, чтоб не висело лишнее.
Логи можно стирать.

Спасибо. Тогда первые оставлю,а вот H@tKeysH@@k.DLL снова не появиться ? Ведь он же наверное не сам появился у меня? Может что то предпринять ещё.И почему его касперский не тронул ? Может быть нужно установить вместо KAV что то другое(например KIS или вообще другого производителя) ?

12341234, KIS/KAV пока лидирует на рынке антивирусов, лучше оставьте его. По касперскому - вопрос в форум http://forum.kaspersky.com
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и не работать повседневно за компом с правами администратора, использовать вместо IE (или настроить его безопасность, отключить activex) firefox c отключенными скриптами (NoScript), или оперу.

У меня просто было чувство что это ко мне не случайно попало(тобишь не автоматом через нет),потому я и начал искать. Про права администратора как то даже забыл совсем.. :(

И всётаки подумал закрыть исходящий трафик. Только вот какие службы системы жизненно необходимы для работы нета и какие порты/адреса им нужны(в норамльном состоянии) не подскажете?

12341234, Могло попасть, если использовали какую либо программу для взлома. По службам - есть в книге, ссылку выше приводил. По портам - поставьте firewall, например KIS 7 вместо KAV или comodo firewall

Да нет,тут дело скорее не во мне(я хакерством не занимаюс),а в том что ко мне закинули скорее всего не кто то из далекой сети. Щас занимаюсь отключением оставшихся служб(многие я уже поотрубал). Поставил KIS6(ключик от KAV6 работает). седьмую поставить немогу так как не хочу покупать что то покачто.
В нем уже установленны некоторые запреты и разрешения,вот теперь думаю все ли необхордимые стоят....(выходит очень интересно-приложению запрешаешь активность(например винамп) а оно всеравно может открывать порт по видимому правда не передавая данных)
комодо ставил,замучался с запретами и разрешениями и удалил :)))