Закрыть порты

Apr. 28th, 2008 01:35 am
[identity profile] haviras.livejournal.com posting in [community profile] useful_faq
У меня кажется завелся на домашней машине троян. Бэкдор. Открывает соединения
от имени /SYSTEM по localhost:4090 (udp).

Фаерволом то я траффик приглушил, но порты остались открыты. Посему два вопроса:
1. Что это за троян? Хочу проверить достаточно ли я его вычистил
2. Как закрыть порты, не перегружая хост?

Зы. Есть подозрение, что это от Kerio VPN Client ноги, но почему все таки локальные UDP:4090 открыты , ведь я на удаленный ТСР:4090 устанавливаю? Наверное троян
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2008-04-28 12:16 am (UTC)
From: [identity profile] vickvega.livejournal.com
Напиши в командной строке:
netstat -ano
Самая правая колонка это PID процессa открывший порт.
В Task Manager добавить колонку PID (Process Identifier) и посмотреть что за процесс.
Или любой другой утилитой: Anvir, Process Explorer.
Edited Date: 2008-04-28 12:16 am (UTC)

Date: 2008-04-28 04:40 am (UTC)
From: [identity profile] haviras.livejournal.com
Да что ж вам всем нетстат то этот... Уже смотрел.
/system юзает

Date: 2008-04-28 04:50 am (UTC)
From: [identity profile] haviras.livejournal.com
А PID лучше смотреть через tasklist

Date: 2008-04-28 06:15 am (UTC)
From: [identity profile] vickvega.livejournal.com
Прогони тогда rootkit revealer (http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx) или trend micro rootkit buster (http://www.trendmicro.com/download/rbuster.asp).

Date: 2008-04-28 08:19 am (UTC)
From: [identity profile] haviras.livejournal.com
Ура! Хоть чтото от руткитов. Хорошая штука?

Date: 2008-04-28 08:44 am (UTC)
From: [identity profile] haviras.livejournal.com
Первая нифига не нашла, вторая нашла чето (в т.ч файл, что мне в это время по асе передавали), удалила, осталась ли проблема - хз. Судя по тому, что количество портов UDP открытых растет, то да

Date: 2008-04-29 10:38 pm (UTC)
From: [identity profile] vickvega.livejournal.com
Что говорит Spybot? Какие процессы - список через autoruns.

Date: 2008-05-03 08:06 pm (UTC)
From: [identity profile] haviras.livejournal.com
Следуя всем софтинам - система чиста как слеза, а порты открываются

Date: 2008-05-04 03:54 am (UTC)
From: [identity profile] vickvega.livejournal.com
Прогони hijack this или сделай список из anvir.
Что-то уж очень подозрительно.
Edited Date: 2008-05-04 03:54 am (UTC)

Date: 2008-05-04 06:51 am (UTC)
From: [identity profile] haviras.livejournal.com
anvir ничего не видит. hijack this сейчас попробую

Date: 2008-05-04 07:06 am (UTC)
From: [identity profile] haviras.livejournal.com
Просканил hijackом:

O21 - SSODL: oledll - {12345B67-1234-1234-D123-7F84D123BC7D} - C:\WINDOWS\System32\wmldap.dll (file missing)
но этот файл удалил уже давно.

Вообще ничего нету левого. А чтото открывает порты и лезет на странные удаленные сервера. Фаер ловит, конечно. Но чтото открывает

Date: 2008-05-04 01:06 pm (UTC)
From: [identity profile] vickvega.livejournal.com
А пошли мне весь лог hijackthis на почту vickvega (gav) livejournal (tchk) com
Edited Date: 2008-05-04 01:07 pm (UTC)

Date: 2008-05-04 08:11 pm (UTC)
From: [identity profile] haviras.livejournal.com
Та я и сюда могу:

Logfile of HijackThis v1.99.1
Scan saved at 23:03:21, on 04.05.2008
Platform: Windows XP SP1, v.1081 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1081)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Aston\aston.exe
C:\PROGRA~1\Aston\XP\internat.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QIP Infium\infium.exe
C:\Program Files\QIP Infium\infium.exe
C:\Program Files\FileZilla Server\FileZilla Server Interface.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\SlimBrowser\sbrowser.exe
C:\Program Files\JetAudio\JetAudio.exe
C:\WINDOWS\System32\LVComsX.exe
C:\WINDOWS\explorer.exe
C:\Program Files\The Bat!\thebat.exe
C:\WINDOWS\System32\Notepad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Haviras\LOCALS~1\Temp\Rar$EX00.984\HijackThis.exe

Date: 2008-05-04 08:11 pm (UTC)
From: [identity profile] haviras.livejournal.com
F2 - REG:system.ini: Shell=C:\PROGRA~1\Aston\aston.exe ,svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Y'z toolbar] %WinDir%\Resources\Themes\SpaceRang\YzToolBar\YzToolBar.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [qip] "C:\Program Files\QIP Infium\infium.exe"
O4 - HKLM\..\Run: [qip2] "C:\Program Files\QIP Infium\infium.exe"
O4 - HKLM\..\Run: [inet] D:\mydoc\inet.bat
O4 - HKLM\..\Run: [the bat] "C:\Program Files\The Bat!\thebat.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [KillCopy] "C:\WINDOWS\System32\killcopy.exe" /kcresume /startup
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

Date: 2008-05-04 08:12 pm (UTC)
From: [identity profile] haviras.livejournal.com
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C14A35A-307D-40D1-8642-FE8D5DC8CC1E}: NameServer = 195.248.191.67 195.248.191.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{A866D937-C09B-4578-8DED-45D157D7ECD4}: NameServer = 195.248.191.67,195.248.191.72
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JHCIAX - Unknown owner - C:\DOCUME~1\Haviras\LOCALS~1\Temp\JHCIAX.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only