Привет, я использую систему XP SP3 со всеми последними обновлениями. Кажется, у меня есть вирус, и мне трудно его выследить.
У меня есть некоторые исходящие соединения; services.exe подключается к порту 443 с некоторым адресом и остается подключенным, в то время как некоторые экземпляры svchost.exe порождают мгновенные подключения к портам 25 и 80 некоторых адресов.
Я пытался проанализировать трафик; Соединения порта 80, кажется, не HTTP, соединения порта 25 никогда не делают это, и я предполагаю, что 443 зашифрован.
Раньше было так, что у меня был запущен мошеннический svchost.exe (Process Explorer пометил его белым, а я отследил файл .sys и удалил его), но сейчас все мои сервисы кажутся действительными. services.exe работает с журналом событий и подключи и играй, но у меня возникли проблемы с определением, какой экземпляр svchost.exe устанавливает соединения.
Предполагая, что мои системные исполняемые файлы не были подделаны, не должно быть так много сервисов, которые можно было бы убедить выполнить поручения вируса, не так ли? Так что я должен подозревать? Есть ли очевидные места для проверки? Какие-нибудь популярные вирусы, которые создают такие связи?
Я не использую никакого программного обеспечения AV, и я не очень люблю специализированное программное обеспечение для обнаружения руткитов; они все работают на черных списках и эвристике в любом случае. У меня есть явный симптом, и я готов искать причину. Любая помощь будет оценена.
Редактировать: Я только что вспомнил, что TCPView показывает PID и отследил экземпляры svchost.exe - два мошенника, которых я пропустил, не работая ни одной системной службы. У меня то же самое, что и раньше, что-то, что регистрирует службу со случайным 8-буквенным именем, ключ реестра которого нельзя просмотреть или изменить с помощью обычных инструментов редактирования реестра. Я могу исправить это еще раз, но если кто-нибудь может сказать мне, почему он продолжает возвращаться или об участии с services.exe, я был бы благодарен.
Другое редактирование: теперь services.exe сошел с ума; он открывает TCP-порт 80 подключений влево и вправо и фактически потребляет немного моей пропускной способности. Что может вызвать такое поведение?
Я нашел еще одну мошенническую службу, использующую поток данных NTFS, называемый svchost.exe:ext.exe (кстати, по имени "FCI"), и удалил ее, но все еще не повезло с services.exe.
Окончательное редактирование: я решил свою проблему так, как я описал в своем ответе, с помощью инструментов, предложенных @Moab. Я все еще интересуюсь тем, как эта штука заразила меня. Я оставляю вопрос открытым еще на несколько дней, на случай, если кто-нибудь предложит мне еще несколько инструментов судебной экспертизы в дополнение к GMER, Process Explorer, TCPView и т.д. Или определит этот руткит.