Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Как можно вычислить процесс, который шлёт icmp-пакеты

RSS
 
Denis Rasskazov
Denis Rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 05.03.2015 13:13:00
Господа, помогите нейтрализовать приложение, которое в фоне отправляет icmp пакеты.
Изменено: rasskaz - 05.03.2015 21:25:36

Ответы

Пред. 1 2 3 След.
 
rasskazov
rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 11.03.2015 12:23:58
Прилагаю свой лог:


P.S.:Попрошу Вас не отталкивать меня из-за религиозных соображений. Вынужден был поставить альтернативный (не ESET) антивирусный пакет из-за безысходности.... Но и он ничего не обнаружил на текущий момент.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:37:04
мы не совсем техподдержка, оказываем помощь по мере сил всем пользователям, за исключением тем, кто работает с ломанными антивирусами.

Цитата
вот эти файлы явно вирусняк
C:\WINDOWS\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
Trojan.Generic.11932309
Win32:Malware-gen
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE

и другие те что в темпе.
---------
и судя по образу - они все одинаковы, один и тоже хэш SHA1
------------


могу написать скрипт очистки, который зачистит эти файлы без перезагрузки системы,
и затем посмотрим, появятся они опять или нет.
Изменено: santy - 11.03.2015 12:43:59
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:51:43
+
проверьте, что это такое, с тем же SHA что и указанные файлы в темпе


Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\ISCSITRG.EXE
Имя файла                   ISCSITRG.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
www.virustotal.com          2015-03-11
BitDefender                 Trojan.Generic.11932309
Avast                       Win32:Malware-gen
                           
Удовлетворяет критериям    
TEMP.CRITERY                (SHA1 = 7F3F5363C368B72A7BD9E6BF289433D68BFE2D25)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     538ED42B14000
Linker                      11.0
Размер                      59392 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   04.06.2014 в 08:09:15
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            c.exe
Версия файла                6.57.2758.0
Описание                    Microsoft
Производитель               Microsoft
Комментарий                 Microsoft
                           
Доп. информация             на момент обновления списка
SHA1                        7F3F5363C368B72A7BD9E6BF289433D68BFE2D25
MD5                         45E65FD654EF7CAB54DB1BF3E04481BE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\iscsitrg\ImagePath
ImagePath                   C:\Windows\System32\iscsitrg.exe svc
iscsitrg                    тип запуска: Авто (2)
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:08:44
+
просьба к вам:
вот эти все указанные файлы добавить в архив с паролем infected и выслать в почту
Цитата
[email protected], [email protected]
[ Как создать образ автозапуска? ]
 
rasskazov
rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 11.03.2015 13:27:52
Цитата
santy написал:
C:\WINDOWS\SYSTEM32\ISCSITRG.EXE


Особенность: из под оконного режима файл вообще не видно. Я смог его найти в файловом менеджере - Far'e
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:35:39
значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?
------
или сами все зачистите?
Изменено: santy - 11.03.2015 13:36:59
[ Как создать образ автозапуска? ]
 
rasskazov
rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 11.03.2015 13:38:51
Цитата
santy написал:
значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?
1. Скрытый, даже не имея атрибутов Explorer.exe не отображает.
2. Конечно пишем ))
3. Сервер я смогу перегрузить только после 19-00 (по поясу +2)
4. Отправил вам инфицированные объекты на:
[email protected]
[email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:51:00
скрипт делает копии удаляемых файлов, затем будет удалять указанный файл вместе со ссылками на него в реестре.
после завершения выполнения скрипта будет запущен архиватор, который добавит копии файлов в архив,
и на этом выполнение скрипта завершится.
QUIT здесь выход из программы без перезагрузки системы.
------
как поведет себя контролер домена в процессе удаления конечно вопрос,
может лучше все таки выполнить скрипт, перед тем как вам можно будет его перезагрузить?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
delall %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
delall %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
delall %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
zoo %Sys32%\ISCSITRG.EXE
delall %Sys32%\ISCSITRG.EXE
zoo %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
czoo
QUIT
после выполнения скрипта, сделайте новый образ автозапуска,
посмотрим, что там останется.
и что произойдет с проблемой.
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 11.03.2015 15:05:55
The detection for this threat will be included in our next signature update.

Цитата
conhost.exe - MSIL/Gruf.A trojan
csrss.exe - MSIL/Gruf.A trojan
iscsitrg.exe - MSIL/Gruf.A trojan
svchost.exe - MSIL/Gruf.A trojan
 
rasskazov
rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 11.03.2015 20:30:29
Клубок начинает разматываться!
После скрипта из списка процессов пропали инфицированные объекты, т.е. те которые запускались из C:\Windows\Temp\
Перезагрузка; icmp-трафика не исчез.
Прогресс - процессы svchost больше не грузятся.
Я нашёл источник icmp-запросов. Это процесс csrss.exe
месторасположение: C:\Windows\System32\GroupPolicy\csrss.exe
убиваю процесс, убиваю файл - icmp прекращаются!
После перезагрузки csrss.exe в процессах и в диспетчере задач.
 
Пред. 1 2 3 След.
Читают тему