KompЭй, я запускаю систему XP SP3 со всеми последними обновлениями. Кажется, у меня вирус, и мне трудно его отследить.
У меня есть некоторые исходящие соединения; услуги.exe подключается к некоторому адресу' порт 443 и остается на связи в то время как некоторые svchost.экземпляры exe порождают мгновенные соединения с портами 25 и 80 некоторых адресов.
Я попытался проанализировать трафик; порт 80 соединения, кажется, не HTTP, порт 25 соединения никогда не сделать это, и я думаю, 443 зашифровано.
раньше было так, что у меня был rogue svchost.exe работает (Process Explorer пометил его белым и я выследил .sys файл и удалил его), но сейчас все мои услуги чего-то стоят. заслуги.exe работает Журнал Событий и подключи и играй но мне трудно понять, какой экземпляр svchost.exe делает соединения.
предполагая, что мои системные исполняемые файлы не были изменены, не должно быть должно ли быть так много служб, которые можно было бы убедить запустить вирус "поручения"? Так что я должен подозревать? Есть очевидные места для проверки? Какие-нибудь популярные вирусы, которые делают такие соединения?
Я не использую AV программное обеспечение, и я не очень люблю специализированное программное обеспечение для обнаружения руткитов; все они работают на черных списках и эвристики в любом случае. То, что у меня есть, это определенный симптом, и я готов пойти искать причину. Любая помощь будет высоко ценимый.
редактировать: я только что вспомнил TCPView показывает PIDs и отследил svchost.exe экземпляры-два жулика я пропустил не работает никаких системных служб. У меня то же самое, что и раньше, то, что регистрирует службу со случайным 8-буквенным именем, ключ реестра которого нельзя просмотреть или изменить с помощью обычных инструментов редактирования реестра. Я могу исправить это снова, но если кто-нибудь может сказать мне, почему он продолжает возвращаться или об участии в услугах.exe я бы благодарный.
другое редактировать: сейчас услуги.exe сошел с ума; он открывает TCP-порт 80 соединений влево и вправо, и на самом деле съедает совсем немного моей пропускной способности. Что могло стать причиной такого поведения?
Я нашел еще один мошеннический сервис, использующий поток данных NTFS под названием svchost.exe: ext.exe (имя которого было" FCI " кстати) и удалил его, но все равно не повезло с сервисами.исполняемый.
окончательная правка: я решил свою проблему так, как я описано в моем ответе, с помощью инструментов, предложенных @Moab. Мне все еще интересно, как эта штука заразила меня в первую очередь. Я оставляю вопрос открытым еще на несколько дней, если кто-то предложит мне еще несколько инструментов судебной экспертизы в дополнение к GMER, Process Explorer, TCPView и т. д. или идентифицирует этот руткит.
3647
