Атака с разных айпи на один и тот же порт

help? · Отправлено: **15:36, 30-06-2010** | #2

Здравствуйте.Выполните правила:
http://forum.oszone.net/thread-98169.html
Также перед созданием логов обновите базы авз(если обновлятся)-Файл/Обновление баз/пуск
Нужно приложить такие архивы, как:
virusinfo_syscure.zip и virusinfo_syscheck.zip
А также HiJackThis.zip

CracKmaniac · mbam-log-2010-06-30 (20-59-58).txt

кол-во проблем уменьшилось)
спустя некоторое время после создания темы я решил перепроверить папку system32
оказалось, что там два svchost.exe файла, и у второго буква 'c' русская. завершил, удалил его, убрал из реестра в 2ключах запуск этого фальшивого сервиса и всё стало ок. атаки на порты пропали

появилась (хотя скорее она и была раньше) другая проблема (проблема ли?)
svchost, уже обычный, посылает изредка запросы на spynettest.microsoft.com. это нормально?
добавил логи avz, hijack, malwarebytes

iskander-k · Конфигурация компьютера

Цитата CracKmaniac:

svchost, уже обычный, посылает изредка запросы на spynettest.microsoft.com. это нормально? »

Цитата:

Windows Defender часто обновляется новыми файлами дефиниций и исправлениями, чтобы быть уверенным в том, что он способен обнаружить самые свежие шпионские программы. SpyNet – это сообщество, к которому обращаются специалисты Microsoft для наблюдения, изучения и устранения ущерба от шпионских программ.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=userinit.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

В МБАМ выберите удаление всего что там найдено кроме

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Файл hosts вы сами правили ?

и проверьтесь утилитой Zbot Killer

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\Schedule', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\Schedule исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'Schedule.log');
end.

CracKmaniac · Отправлено: **20:37, 30-06-2010** | #5

спасибо за информацию и за помощь
всё сделал, Zbot Killer показывает, что всё чисто, hosts правил давно с помощью Spybot Search & Destroy
если архив карантина нужен, я его залил сюда - http://slil.ru/29414990 (места для прикреплений не хватает)

уточню, что флуд пакетами на один и тот же порт появляется и исчезает. видимо это всё-таки дело в том, что мне после переподключения иногда достаётся "загаженный" айпи
или я не прав?

iskander-k · Конфигурация компьютера

У вас была еще загажена вирусом записью F:\windows\F:\windows\System32\svchost.exe от службы
Schedule. скрип её исправляет. Ну и МБАМом надо было дочистить.

Лог Schedule.log присоедините.

Нужно ещё обновить АВЗ новые логи сделать.

CracKmaniac · Отправлено: **21:20, 30-06-2010** | #7

Schedule

Код:

[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services\Schedule исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet001\Services\Schedule исправлено на оригинальное.
[микропрограмма лечения]> изменен параметр ImagePath ключа HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Schedule
Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\ControlSet002\Services\Schedule исправлено на оригинальное.

логи от avz в виде двух архивов? если нужны такие, то они будут завтра
прикрепил лог с быстрого скана, на него нашлось время

iskander-k · Конфигурация компьютера

Нужны логи в виде двух архивов - сделанные заново.

thyrex · Конфигурация компьютера

Цитата CracKmaniac:

логи от avz в виде двух архивов? если нужны такие, то они будут завтра »

Можно только virusinfo_syscheck.zip
Он быстро сделается

CracKmaniac · Отправлено: **11:00, 01-07-2010** | #10

готово