[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4668: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4670: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4671: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4672: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
ДОУНБ • Просмотр темы - Медицинский случай от 7 декабря
Дніпропетровська обласна універсальна наукова бібліотека

For quick login in and fast entrance.
Вернуться на сайт Регистрация Поиск FAQ Вход 

Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

08 дек 2009, 00:53

 Медицинский случай от 7 декабря
Не в сети

Зарегистрирован: 10 ноя 2009, 14:29
Сообщения: 13
Эту систему (Windows XP SP3) я устанавливал сам, но давно. За время моего отсутствия на ней отключили антивирус для большей производительности и сумели подхватить заразу. Симптомы заразы просты. Даже слишком просты. Непрерывное сканирование случайно выбираемых адресов по порту 445 (microsoft-ds). netstat показывает много исходящих соединений на этот порт в состоянии SYN_SENT (поскольку случайно выбранные адреса чаще всего недостижимы). Да, ещё постоянно выключаются службы автоматического обновления и фоновой передачи данных (BITS). И отключается показ скрытых/системных файлов в Проводнике. В остальном, каких-либо нареканий на работу системы у владельцев нет. Но такое поведение не нравится мне. Это ненормально.
показывает, что эти соединения открывает один из процессов svchost. не показывает никаких подозрительных объектов автозапуска.
Приходится запустить более сильнодействующее средство - .
Выбираю в списке процессов svchost, на который показал TcpView, включаю нижнюю панель (Ctrl-L) и отображение дескрипторов, открытых процессом (Ctrl-H). И точно - в списке виднеется подозрительная DLL с именем из случайно выбранных латинских букв. Файл лежит в \windows\system32. Ищу все активные ссылки на имя этого файла по всем процессам (Ctrl-F). Ссылка только одна - DLL загружена только в этот самый svchost. Закрываю найденный дескриптор с помощью того же Process Explorerа (контекстное меню в списке нижней панели).
Теперь заглядываю в \windows\system32 - и не могу там отыскать этот посторонний файл. Несмотря на закрытие дескриптора, поток исполнения кода этой DLL продолжается, посторонняя активность всё та же.
Перезапускаю систему в безопасном режиме. Открываю "Панель управления - Администрирование - Службы". Хорошенько ищу (глазами и вручную) подозрительные службы. Обнаруживаю службу со странным именем Shell Task, с не слишком осмысленным русским описанием (скопированным у другой службы из списка), и с коротким именем в виде ещё одной случайной последовательности букв.
Запускаю regedit и ищу это короткое имя. Нахожу его в списке служб, которые надо запускать в контексте svchost, и удаляю оттуда. Ищу дальше - и нахожу данные "посторонней" службы со ссылкой на найденную ранее постороннюю DLL. Всё это удаляю. Что не удаляется, на то добавляю разрешения "Полный доступ" для пользователя SYSTEM и группы "Все" - и тогда получается удалить. AutoRuns не показывал этот объект потому, что разрешения на чтение его ветви реестра были только для пользователя SYSTEM.
Перезапускаю систему в нормальном режиме - и вот он результат, посторонняя активность прекратилась.
Правда, DLL в \windows\system32 так и не нашлась. Компьютер достаточно отрезанный от Интернета, а бесплатных антивирусов у меня с собой не было. На этом систему и вернул владельцам в дальнейшее пользование.


Başa Dön Вернуться к началу
 Профиль  
 

10 дек 2009, 17:24

 Re: Медицинский случай от 7 декабря
Не в сети
Аватара пользователя

Зарегистрирован: 18 ноя 2009, 12:30
Сообщения: 27
Пишите, Вас читают ;) .


Başa Dön Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 2 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB