Соединения с CLOSE_WAIT статусом от svchost выполняющего (DcomLaunch)

**dolzenko** · 22.04.2009, 22:45

Недавно начал наблюдать подобную неприятность. Сам файл C:\WINDOWS\system32\rpcss.dll сканировал онлайн сканерами, AVZ, AVPTool - все молчат. В остальном компьютер содержится в полной чистоте и порядке.

Соответственно вопрос, эти http соединения это совсем неправильно и я стал частью ботнета?

Прилагаю картинки из ProcessExplorera. Возможно бы и создал тему в "Помогите" но пока не вижу особого смысла так как сам в состоянии оценить вывод как Hijackthis так и AVZ и там все чисто (ну за исключением явно ложных срабатываний на драйвер DaemonTools и LvHook от лингво)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 22.04.2009, 23:40

Сообщение от dolzenko

за исключением явно ложных срабатываний на драйвер DaemonTools и LvHook от лингво

Хотите сказать, что DaemonTools не перехватывает функции ОС работы с дисками, а LvHook с клавиатурой?

Сделайте логи по Правилам, тогда будет о чём говорить.

**dolzenko** · 23.04.2009, 15:44

Сообщение от AndreyKa

Сделайте логи по Правилам, тогда будет о чём говорить.

Надеюсь все правильно сделал

Добавлено через 5 часов 41 минуту

Продолжаю наблюдать за этим сервисом и компьютером в целом. Сейчас никакой не предусмотренной активности не наблюдается.
Может это ломать пытались?

**AndreyKa** · 23.04.2009, 16:04

Отключите службу восстановления системы (см. Приложение 1 Правил). В её хранилище троян.
Возможно, никаких активных зловредов нет. Но у вас очень много специфического софта. Проведите процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

**dolzenko** · 23.04.2009, 19:24

Сообщение от AndreyKa

Отключите службу восстановления системы (см. Приложение 1 Правил). В её хранилище троян.

А есть ли смысл т.к. больше похоже на то что это ложное срабатывание, вот что говорит virustotal.com на файл C:\System Volume Information\_restore{9B42ABFE-A4D7-4C76-9686-AB2EED0E3486}\RP824\A0237942.exe http://www.virustotal.com/analisis/e...ab42d0adcc8632

Сообщение от AndreyKa

Проведите процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

всмысле посканировать свой софт для базы AVZ? это можно.

**AndreyKa** · 23.04.2009, 19:48

Для ложных срабатываний AVZ есть такая ссылка: http://z-oleg.com/secur/avz/uploadvir.php
Отправьте туда файл C:\System Volume Information\_restore{9B42ABFE-A4D7-4C76-9686-AB2EED0E3486}\RP824\A0237942.exe, выбрав вариант "ложное срабатывание".

**dolzenko** · 24.04.2009, 00:16

Сообщение от AndreyKa

Для ложных срабатываний AVZ есть такая ссылка: http://z-oleg.com/secur/avz/uploadvir.php
Отправьте туда файл C:\System Volume Information\_restore{9B42ABFE-A4D7-4C76-9686-AB2EED0E3486}\RP824\A0237942.exe, выбрав вариант "ложное срабатывание".

сделано

Соединения с CLOSE_WAIT статусом от svchost выполняющего (DcomLaunch) (заявка № 44355)

Опции темы

Соединения с CLOSE_WAIT статусом от svchost выполняющего (DcomLaunch)

Похожие темы

svchost.exe DcomLaunch power plug and play

svchost.exe -k DcomLaunch

Процесс svchost -k dcomlaunch грузит систему на 100% В чем проблема и как исправить Без сноса винды??

svchost exe DcomLaunch ест процессор и память. (заявка №1221)

svchost.exe -k DcomLaunch

Ваши права в разделе