Заметил пару дней назад, что интернет подтупливает. Списал всё на коронавирус т.к. много кто перешел на удаленку.
Сегодня решил разобраться в чем дело. Несколько часов разбирался собрал такую инфу, довольно интересную

Комп открывает 3500+- соединений с "статичный набор цифр" consolidated.net, colocrossing.com (пока что эти 2 сайта спалил) по 445 и 1433 удаленным портам. Локальные же рандомные.
Если заморозить rpcss (а он собсно и открывает), то соединения виснут и всё ок.

С помощью netstat -b не удалось найти название виновника, только все 3500+ подключений.

cureit ничего не нашел, autoruns просмотрел - нет ничего подозрительного.
брандмаузер сбрасывал, аномалий тоже там не увидел. сижу на всем виндовом штатном. есть разграничение пользователей. Сижу в пользователе, админ под паролем (+uac) для только работы над системой.

Ща еще поковыряюсь, буду дополнять пост.

дополню скринами из cmd, из списка подключений в роутере, из tcpview (4748 процесс это как раз таки svchost -k rpcss)

#77 #77 #77

Добавлено спустя 25 минут 8 секунд:
upd патчи на smb1 давно стоят. Винда 7 про, лицуха. Обновлялся года до 17, потом выключил.

Добавлено спустя 23 минуты 17 секунд:
upd
с помощью tasklist посмотрел че вообще висит на 4748 (svchost rpcss)
ntdll.dll, wow64.dll, wow64win.dll, wow64cpu.dll вроде как не вызывает подозрений но все-же над проверить

похоже на это
https://habr.com/ru/company/pt/blog/304842/
http://www.decker.su/2016/07/badtunnel- ... ility.html

Inkviz больше похоже на то что винда сама "спамит" в сеть. У тебя она самостоятельно обновляется ?
А увидел. У тебя семерка вообще. Я бы просто переставил ее из образа или по новой и забыл. Хотя для семерки, с ее почти полной управляемостью, такое поведение странно.

sgs к огромному сожалению переставлять не вариант, слишком много данных и лицензий и проч. привязано. Обновления выключены года с 17.
Из образа тоже вариант сейчас уже не пройдет, в образе слишком старые данные, а новый ну вот как раз собирался сделать... Как всегда в общем

Godlike66 на счет badtunnel читаю. Обновления 16 года + "смбшные" стоят в системе. Вроде как должно было исключить.
Кстати да, китайцы задрали ломиться, у меня на белом IP кой-че висит на линуксах, благо я роутером только нужные порты выдал и собсно роутер на свежей ddwrt прошивке фильтрует. Когда ради интереса ssh в инэт выпустил - логи стали киломеровыми от попыток подобрать root/password X)

Добавлено спустя 10 минут 31 секунду:
Кажется, всё было банально просто.
#77

Добавлено спустя 15 минут 20 секунд:
проверил у себя на ноуте, rpscc есть только с нижним регистром символов. Хм.
Проверил по PID все svchostы через таск лист + их зависимости. Они оказались разными.

#77

Поискал ntdll.dll - лежт на своих местах. всего2 файла. в system32 и syswow64. однако другие 3 файлы, что используют 4644 и 3232, они лежат в sxs.

Добавлено спустя 3 минуты 42 секунды:
upd
Будем считать, что RPCSS виндовый процесс, а rpcss - левый. Попробовал не заморозить, а грохнуть. Ну что-ж. лоукейс рпцсс через несколько секунд опять появился. А капслочный, виндовый, не появился. Ну и что логично, после убивания RPCSS отвалился UAC А когда я морозил rpcss, то ничего не отваливалось. Ни инэт, ни uac, ни локалка.

Добавлено спустя 10 минут 52 секунды:
upd 2

#77

Inkviz
64 битной винде в принципе не бывает системных процессов svchost из 32 битной среды.

Kuja ага, но не сразу углядишь такие моменты. Осталось ток понять где искать эту тварь. Точнее что пинает автозапуск.

upd
Никак не могу найти чтож её стартует и где реально сидит оно. Есть предположения?

Пробовал даж такой изврат как Search My Files, и из него за последние 10 дней искать изменения в dll, exe...

Странно то, что в службах они обе есть. Причем проверил на не зараженном компе - точно так-же обе службы есть!

Однако странно то, что в службах они все от system32/svchost запускаются, а в случае данных из process explorerа, то от syswow64

#77

пока отключил просто 445 порт через реестр, теперь можно спокойно работать и искать решение...

Добавлено спустя 3 часа 2 минуты 33 секунды:
upd
нашел еще время, поковырялся. svchost постоянно коннектится на colocrossing.com + teliacarrier.com. Судя по гуглу это Zbot trojan. Будем-с искоренять...

upd
пару раз последнюю неделю ночью комп ловил перезагрузки (по журналам спалил) т.к. комп не выключаю. Сейчас он обнаглел и ребутнулся пока я гуглил инфу. Причем перезагрузка не железная, а с закрытием программ. Таки зловред еще и перегружает комп сам.

upd
MSE стоит с последними базами, сделал полную проверку на всякий - ничего не нашел.
пока что добавил эти пару сайтов в hosts

Сканировал из винды?

darmate да.
Ради теста проверился 30дневным касперским. Ну что-ж он нашел 1 файлик, устранил, жду как закончит и проверю еще раз.

#77

C флешки грузись и сканируй

darmate как каспер закончит, проверю порты. Если не будет спама по портам, то значит каспер справился.

Добавлено спустя 1 час 19 минут 50 секунд:
Ну что-ж. Детективного рассказа не получилось, в общем-то я разочарован в MSE, он эту гадость пропустил, хотя в большинстве случаев он работает на отлично. Ну и касперский, наоборот, помог, удалив подлый DLL файл. Возможно заражение было очень давно, т.к. "хитрый" метод по поиску появившихся новых длл/ехе с помощью поиска за последние несколько дней не помог.
Обычно я сам справляюсь с заражениями на клиентских компах, но тут длл-ка никак не "палилась", я не смог найти источник. Всем спасибо за виртуальное участие

Делаем бэкапы, господа

Хм, хотел и я было каспера потестить на твоей теме, но он требует удаления нода и комода. Не судьба значит.

sgs у меня тоже попросил удалить MSE. Я сказал не, оставь его, и он дальше стал ставиться.

куку короче, майкрософт похоже присоединился к гуглю с ютубом в войне с русифицированой версией вин

Inkviz Для поиска/ предотвращения гадостей в автозагрузке я например пользую вместе с антивирусами еще AnVir Task Manager. Он бесплатный для русскоговорящих периодический обновляется и есть portable, очень помогает смотреть что в загрузке у системы + мониторит что пытается добавиться в запуск и спрашивает что с ним делать.

bukazavr спасибо за софтвинку, поковыряю. Я обычно microsoft autoruns использую.

Ооо, знакомые "веселые картинки". Была такая же хрень, еле отковырял. Хорошо, шеф поставил TING после этого случая. Установка программно-аппаратного комплекса Traffic Inspector Next Generation помогла закрыть множество проблем с безопасностью сети. Комплекс упростил работу системному администратору. Но даже мне было не так уж трудно разобраться с работой шлюза, потому что интерфейс понятный и удобный (хотя админ сказал, что позже переведет его на SSH). Если что-то не понятно или возникают сложности, то всегда работает техподдержка, им можно написать или позвонить. Короч, удобная штука.

От совершенно неочевидной гадости очень часто помогал malwarebytes antimalware. Давно, правда, им не пользовался, но в отличии антивирей, и нода, и нортона, и каспера очень шерстила и находила именно бяки, а не вирусы в полном смысле слова.