Странная активность

При запуске svchost подключается по адресу 64.4.18.90:80. IP указывает на связь с Hotmail. Windows 7.
Была ли у кого-нибудь похожая активность?

64.4.18.90 это IP Microsoft Corp. Так что скорее всего просто проверка обновлений Windows происходит.

MS Hotmail HOTMAIL (NET-64-4-0-0-1) 64.4.0.0 - 64.4.63.255

Почтовый сервис hotmail принадлежит Microsoft Corp. :wink:

заметил в логах файрвола странную активность поэтому тоже пишу, svchost ломится в инет, в скриншоте видно айпишники,
кстати вот они:
92.123.115.235
92.122.50.179
92.122.50.160
проверил его тут:
http://www.virustotal.com/file-scan/report.html?id=121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1317444159
как видите только один из антивирусников определил троянчик, вот и думаю что и как
походу не одного меня такая проблема, вот чувак жалуется:
http://forum.kaspersky.com/index.php?s=e18172415b7788a81f61ef089463f0f2&showtopic=177170&st=0&p=1416827&#entry1416827
и MD5 : 54a47f6b5e09a77e61649109c6a08866
совпадают :-[
вот еще:
http://answers.microsoft.com/ru-ru/windows/forum/windows_7-security/подозрен/9e61c717-8735-433e-8a19-dacdaae65c26?msgId=8b9e14c3-3204-47bd-beb6-f6d4d0beb7c8
а вот explorer.exe чист как младенец
вот еще ip
77.109.169.169
77.109.169.185
80.239.254.65
64.214.231.171
64.214.231.147
да короче их полно и все на 80 порт ломятся

[attachment deleted by admin]

Странная активность svchost появляется сразу после загрузки системы или после запуска браузера, торрента, почтовика и т.п.?
Если не сложно, выложите скриншот списка активных процессов.

сразу же после перезагрузки, у меня разрешено для svchost исходящие на 53 порт днс, к определенным ip адресам, все остальное блокируется и логируется. Могу лишь предположить что в него кто-то внедряется.
DAEMON Tools Lite я перезапустил, ибо при автозагрузке он попадает в песочницу, как и многие другие программы. :slight_smile: Вот еще, если надо сам файл прикреплю:
Версия: COMODO Internet Security 5.8.210479.2111
Система: win 7 64 разрядная, русская, сервис пак 1.

кстати на том же virustotal пишут:

Я отлаживать его от начала и да, это вредоносное ПО, которое устанавливает руткит незамеченными, только если известно AVs не запущены. Вот почему ни один AV до сих пор обнаружить его, он не выполняет вредоносных кода, когда он думает, некоторые А.В. является активным.

Этот файл идет с некоторыми версиями пиратскую Windows 7 и отправляет дампы памяти с компьютера (это может включать в себя логины, пароли, электронные письма и т.д.), и это также не обнаруживаются известные пакеты снифферов.

Эта вредоносная программа использует за и удивительной технологии! Если вы вредоносных исследователь я предлагаю взглянуть на это.

через переводчик гугла

прогнал сегодня его еще через AVZ

Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 01.10.2011 12:18:09
Загружена база: сигнатуры - 294055, нейропрофили - 2, микропрограммы лечения - 56, база от 28.09.2011 20:17
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 298399
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7600, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->77485F5A->77A9A887
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->77485F75->77A840F0
Функция user32.dll:DefWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->77485F90->77A624F0
Функция user32.dll:DefWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->77485FAB->77A525FD
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Ошибка загрузки драйвера - проверка прервана [C000035F]
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Ошибка загрузки драйвера - проверка прервана [C000035F]
2. Проверка памяти
 Количество найденных процессов: 1
 Количество загруженных модулей: 70
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 В базе 317 описаний портов
 На данном ПК открыто 8 TCP портов и 7 UDP портов
 Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\guard32.dll"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
 >>>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные - исправлено
 >>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
 >>>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса - исправлено
 >>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
 >>>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX - исправлено
 >>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
 >>>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX - исправлено
 >>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
 >>>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME - исправлено
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>>  Таймаут завершения процессов находится за пределами допустимых значений - исправлено
 >>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
 >>>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений - исправлено
 >>  Разрешен автозапуск с HDD
 >>>  Разрешен автозапуск с HDD - исправлено
 >>  Разрешен автозапуск с сетевых дисков
 >>>  Разрешен автозапуск с сетевых дисков - исправлено
 >>  Разрешен автозапуск со сменных носителей
 >>>  Разрешен автозапуск со сменных носителей - исправлено
 >>  Заблокирован элемент Выполнить в меню Пуск
 >>>  Заблокирован элемент Выполнить в меню Пуск - исправлено
Проверка завершена
Просканировано файлов: 71, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 01.10.2011 12:18:35
Сканирование длилось 00:00:27
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru



c:\Windows\SysWOW64\guard32.dll
Microsoft Windows Vista/7, Workstation, kernel version 6.x build 7600


Информация о версии : 

Язык версии : Английский (США)
      CompanyName	: COMODO
      FileVersion	: 5, 8, 210479, 2111
      FileDescription	: COMODO Internet Security Beta
      LegalCopyright	: 2005-2012 COMODO. All rights reserved.
      ProductName	: COMODO Internet Security Beta
      ProductVersion	: 5, 8, 210479, 2111

Дата создания	: 17/08/2011  09:56:16 
Послед. изменение	: 30/09/2011  20:46:58 
Последний доступ	: 01/10/2011  10:29:14 
Размер	: 297616 байт ( 290.641 КБ,  0.284 МБ ) 
Размер инфо о версии	: 1452 байт  
Тип     	: Application (0x1) 
ОС      	: Win32 (0x4) 
Версия файла	: 5.8.13871.2111 / 5.8.13871.2111
Язык 	: Английский (США) (0x409) 
Кодировка	: 1252 (ANSI - Latin 1 (US, Western Europe)) (0x4E4) 

Информация о билде: 
Версия отладки	: нет 
Патченная версия	: нет 
Пререлиз версия	: нет 
Частная версия	: нет 
Специальный билд	: нет 

меня беспокоит:
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->77485F5A->77A9A887

[attachment deleted by admin]

  1. Судя по журналу проактивной защиты 7 приложений при старте запускаются в Sandbox, а в Активных процессах из семи есть только 3. Остальные сами выгружаются или Вы их завершили?
  2. У Вас установлены Adobe Creative Suite или Adobe Application Manager?
  3. Судя по всему виновником активности svchost.exe является один из двух процессов (или оба сразу) updaterstartuputility.exe и CTАudSvc.exe.
    Попробуйте отключить обновление всех установленных продуктов Adobe, перезагрузиться и посмотреть в логи фаервола.

поотключал лишние службы, проблема осталась, ни чего сам не выгружал, сразу шел в логи и делал скриншоты.
ха, а taskhost.exe в системе не нашел, пошел на поиски…
нашел его тут: C:\Windows\winsxs\amd64_microsoft-windows-taskhost_31bf3856ad364e35_6.1.7600.16385_none_84339a007406dfa0
скопировал его сюда: C:\Windows\System32 …без проблем ;D :-, перезагрузился проблема осталась :smiley:
скриншоты сделаны до копирования taskhost.exe :-X :-
думаю все-таки что то есть, только умела маскируется.

[attachment deleted by admin]

это правильно, отключите еще все лишнее, что прописано в автозагрузке (кстати откуда взялось runonce.exe? Вы что-то удаляли/устанавливали?)

В карантине у Комодо нет случайно?
1.Отправьте все файлы, которые запускаются в песочнице (Dllhost.exe, taskhost.exe и т.п.), на вирустотал.
2. Если еще этого не делали, прогоните систему утилитами http://www.malwarebytes.org/ и Download HitmanPro: Scan and Remove Malware

все чистые за исключением taskhost.exe его вообще нету, в этом то и проблема, переустановил виндовс та же проблема :frowning:
обоими программами проверил ни чего не нашли…

К сожалению ничего не могу сказать про taskhost.exe, у меня установлена Win XP 32-bit…Поскольку Вы уже переустанавливали Виндовс и результат тот же на свежеустановленной системе, можно предположить, что зловред (если он есть) вшит в сборку изначально… Советую скачать другой дистрибутив в другом месте (если надо могу скинуть в личку ссылку на проверенную 7-ку)

coolmans, такие соображения.

  1. Эту глупость на вирустотале, что Вы перевели, видел неоднократно и продолжаю считать, что это глупость. Можете, в крайнем случае, скачать с МС оригинальный диск с виндами, Win7 SP1 любой редакции и локализации сейчас можно скачать без проблем. Если не найдёте, поищу ссылку.

  2. При сравнении и замене системных файлов под x64 нужно учитывать, что копий этих файлов, как правило, ДВЕ. И копии эти разные. А иногда, как в случае с taskhost, может быть только одна копия. И лежат эти копии, одна - в System32, а другая - в SysWOW64. И они, действительно, как бы “прячутся”. Это механизм подстановки правильных путей (и веток реестра тоже) для приложений разной разрядности. Поэтому в зависимости от того, 32-х-разрядной или 64-х-разрядной программой Вы будете искать/читать/смотреть и т.п., на первый взгляд, один и тот же файл, Вы будете видеть фактически разные файлы. Я даже помню, что кто-то из антивирусов озадачивался в своё время от такого фокуса. :slight_smile:

  3. В самом по себе перехвате DefDlgProc и DefWindowProc ничего катастрофического нет. Тем более что, обратите внимание, AVZ показывает 32-х-разрядные адреса, т.е. фактически мы имеем дело с WoW, а этот “перехват”, я почти уверен, что и в Вашем случае, ведёт в ntdll.dll, если не уверены, перепроверьте, в какую библиотеку попадает этот адрес. Можете прямо с помощью AVZ. Я специально этим не интересовался, но думаю, что здесь мы тоже имеем дело с “подстановкой” для WoW. В принципе, это легко проверить.

я всегда использовал хп, а тут не приятно, что система без твоего участия куда-то ломится, радует лишь одно, что ко мне не подключиться, ибо в за шлюзом в локалке сижу, а на серваке линукс, iptables.

Вы имеете в виду эти 92.123.115.235 и т.п.? Akamai. Windows Update, иными словами… Может и не только апдейт… :slight_smile: (c) “О дивный новый мир” :smiley:

Вот это правильно :slight_smile:

Материал из Википедии:
“Akamai Technologies (NASDAQ: AKAM) — поставщик услуг для Web: акселерация веб-сайтов, провайдер платформ доставки контента и приложений. Использует большое количество территориально распределённых серверов для более быстрой доставки контента посетителям.
Среди клиентов компании: Adobe, Apple, AMD, Amazon.com, Autodesk, BBC, BenQ, Blizzard, CNET, European Space Agency, IBM, L’Oréal, Microsoft, MySpace, NASA, Nintendo, NVIDIA, PC World, Sony, Red Hat, Reuters, Siemens, Yahoo, Icloud.”
coolmans, если Windows Update и обновление Adobe у Вас отключено, а svchost по прежнему лезет в сеть, есть смысл копать в сторону драйверов NVIDIA

Ну по идее у nvidia свой сервис, она, вроде бы, сервисхост не использует. На самом деле проще посмотреть какая именно служба этот делает в сервисхосте, тем же процесс-эксплорером.