Скорее всего вирь. Куда копнуть?

**disconnect** · 17.01.2012, 00:27

Win2003
Недавно заметил в аудите событий (безопасность) аномалии.
В секунду попыток 15 подключений исходящих по порту 139 на разные компы в локальной сети
К примеру:
Попытка входа с явным указанием учетных данных:
Вошедший пользователь:
Пользователь: user1
Домен: MASTER1
Код входа: (0x0,0x707AF)
Код GUID: -
Были использованы учетные данные пользоваиеля:
Целевой пользователь: user2
Целевой домен: MASTER1
Целевой код GUID: -

Имя целевого сервера: comp-03
Данные целевого сервера: comp-03
Код процесса вызывающего: 4
Адрес сети источника: -
Порт источника: -
---
Почему подозрение по порту 139 - потому что огромное кол-во(по netstat тыщи полторы) TIME_WAIT на локальный адрес(периодически он меняется).
AVZ по списку процессов показал все зеленое.
Что посоветуете?

**Gobzavr** · 17.01.2012, 01:04

1. Скачать AVZ
2. Открыть
3. Файл -> Исследование системы -> Пуск -> Сохранить файл -> Куда то сохраняем, что бы потом нашли только

4. На выходе получим два файла, нам интересен только htm
5. Разместите его в интернете на любой из датахостингов, например http://slil.ru/
6. Ссылку на скачку с датахостинга в студию

Давайте сюда все свое зеленое. Будем смотреть

**disconnect** · 17.01.2012, 08:52

Допис від Gobzavr

Давайте сюда все свое зеленое. Будем смотреть

тыц

**Gobzavr** · 17.01.2012, 11:35

Да как бе да...
У вас симантек не стоит?

**disconnect** · 17.01.2012, 11:41

Допис від Gobzavr

Да как бе да...
У вас симантек не стоит?

Неа

**exses** · 17.01.2012, 11:59

PROCEXP151.SYS вызывает сомнения.
при гуглении он всё время идет в паре со словом malware

А если отключить сервер терминалов количество соединений по netstat остаётся?
В терминале никакая dbf 1С не поднимается с открытием 1000 файлов по сети?
или DFS?
Terminal Server Redirected Drive - настораживает

**disconnect** · 17.01.2012, 12:30

Допис від exses

PROCEXP151.SYS вызывает сомнения.
при гуглении он всё время идет в паре со словом malware

А если отключить сервер терминалов количество соединений по netstat остаётся?
В терминале никакая dbf 1С не поднимается с открытием 1000 файлов по сети?
или DFS?
Terminal Server Redirected Drive - настораживает

Кстати да, PROCEXP151.SYS и Terminal Server Redirected Drive на рядом стоящей винде подобного нет.
Народ по домам разбежится - буду шаманить

На счет 1С и DFS нет, такое добро не установлено.

Спасибо.

**Gobzavr** · 17.01.2012, 12:40

Неа

О, так это уже другой вопрос

C:\WINDOWS\System32\ntmsevt
C:\WINDOWS\System32\Drivers\wd.sys

Это вот еще странные товарищи

**suslik99** · 17.01.2012, 15:28

http://www.virustotal.com/ сдох.
Пичалько.

Куда теперь вд-сисы слать?

**Gobzavr** · 17.01.2012, 15:29

C лайвсд удалить. Проверить
Если чо - назад вернуть

**exses** · 18.01.2012, 02:28

Допис від suslik99

http://www.virustotal.com/ сдох.

Куда сдох? Зачем паника?
У меня наверно в кеше остался

И работает.

**disconnect** · 18.01.2012, 09:51

В общем отловил заразу

https://www.virustotal.com/file/aab0...c936/analysis/
Спасибо всем откликнувшимся!

**Gobzavr** · 18.01.2012, 10:23

Думал конфикера уже все поубивали давно, ан-нет: партизанит

Тема: Скорее всего вирь. Куда копнуть?

Параметри теми

Відображення

Скорее всего вирь. Куда копнуть?

Bookmarks

Bookmarks

Ваші права у розділі

	Головна \| Афіша \| Новини \| Куди піти \| Про місто \| Фото \| Довідник \| Оголошення
	Контакти : Угода з користивачем : Політика конфіденційності : Додати інформацію