[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4668: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4670: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4671: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4672: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
ДОУНБ :: Просмотр темы - Медицинский случай от 7 декабря
ДОУНБ
http://forum.libr.dp.ua/

Медицинский случай от 7 декабря
http://forum.libr.dp.ua/viewtopic.php?f=51&t=60
Страница 1 из 1

Автор:  Wladimir Mutel [ 08 дек 2009, 00:53 ]
Заголовок сообщения:  Медицинский случай от 7 декабря

Эту систему (Windows XP SP3) я устанавливал сам, но давно. За время моего отсутствия на ней отключили антивирус для большей производительности и сумели подхватить заразу. Симптомы заразы просты. Даже слишком просты. Непрерывное сканирование случайно выбираемых адресов по порту 445 (microsoft-ds). netstat показывает много исходящих соединений на этот порт в состоянии SYN_SENT (поскольку случайно выбранные адреса чаще всего недостижимы). Да, ещё постоянно выключаются службы автоматического обновления и фоновой передачи данных (BITS). И отключается показ скрытых/системных файлов в Проводнике. В остальном, каких-либо нареканий на работу системы у владельцев нет. Но такое поведение не нравится мне. Это ненормально.
показывает, что эти соединения открывает один из процессов svchost. не показывает никаких подозрительных объектов автозапуска.
Приходится запустить более сильнодействующее средство - .
Выбираю в списке процессов svchost, на который показал TcpView, включаю нижнюю панель (Ctrl-L) и отображение дескрипторов, открытых процессом (Ctrl-H). И точно - в списке виднеется подозрительная DLL с именем из случайно выбранных латинских букв. Файл лежит в \windows\system32. Ищу все активные ссылки на имя этого файла по всем процессам (Ctrl-F). Ссылка только одна - DLL загружена только в этот самый svchost. Закрываю найденный дескриптор с помощью того же Process Explorerа (контекстное меню в списке нижней панели).
Теперь заглядываю в \windows\system32 - и не могу там отыскать этот посторонний файл. Несмотря на закрытие дескриптора, поток исполнения кода этой DLL продолжается, посторонняя активность всё та же.
Перезапускаю систему в безопасном режиме. Открываю "Панель управления - Администрирование - Службы". Хорошенько ищу (глазами и вручную) подозрительные службы. Обнаруживаю службу со странным именем Shell Task, с не слишком осмысленным русским описанием (скопированным у другой службы из списка), и с коротким именем в виде ещё одной случайной последовательности букв.
Запускаю regedit и ищу это короткое имя. Нахожу его в списке служб, которые надо запускать в контексте svchost, и удаляю оттуда. Ищу дальше - и нахожу данные "посторонней" службы со ссылкой на найденную ранее постороннюю DLL. Всё это удаляю. Что не удаляется, на то добавляю разрешения "Полный доступ" для пользователя SYSTEM и группы "Все" - и тогда получается удалить. AutoRuns не показывал этот объект потому, что разрешения на чтение его ветви реестра были только для пользователя SYSTEM.
Перезапускаю систему в нормальном режиме - и вот он результат, посторонняя активность прекратилась.
Правда, DLL в \windows\system32 так и не нашлась. Компьютер достаточно отрезанный от Интернета, а бесплатных антивирусов у меня с собой не было. На этом систему и вернул владельцам в дальнейшее пользование.

Автор:  Фауна [ 10 дек 2009, 17:24 ]
Заголовок сообщения:  Re: Медицинский случай от 7 декабря

Пишите, Вас читают ;) .

Страница 1 из 1 Часовой пояс: UTC + 2 часа [ Летнее время ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/