-
service.ехе постоянно просит исходящее соединение
На ПК были трояны, чистил NOD32, Outpost модулем Antispy, AVZ, Cureit от DrWeb. Один из троянов пришлось удалить вручную, т.к. антивирусы не видели, а Outpost повисал - это был Trojan.Win32.Spabot.ai, удалил HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify раздел rpcc.dll
ПК стал работать стабильнее, до этого был частенько рестарт и трафик большой. НО стоит только мне установить Outpost в режиме обучения, как появляются окна для создания правил service.exe, Приложение служб и контроллеров запрашивает исходящее соединение, Удаленная служба: UDP:12236, Удаленный адрес 88.104.241.106; Удаленная служба ICQ (UDP:4000) Удаленный адрес 24.5.70.209; Удаленная служба: UDP:25846, Удаленный адрес 69.6.162.104; Удаленная служба: UDP:26412, Удаленный адрес 24.37.75.9; Удаленная служба: UDP:4020, Удаленный адрес 65.24.76.254; Удаленная служба: UDP:28102, Удаленный адрес 24.45.163.71; и так до бесконечности.
В Filemon идут ссылки на файл windev-peers.ini
896 9:06:01 SERVICES.EXE:676 SET INFORMATION C:\WINDOWS\SYSTEM32\windev-peers.ini SUCCESS Length: 80
897 9:06:01 WINLOGON.EXE:628 DIRECTORY C:\WINDOWS\System32 SUCCESS Change Notify
898 9:06:01 SERVICES.EXE:676 UNLOCK C:\WINDOWS\SYSTEM32\windev-peers.ini RANGE NOT LOCKED Offset: 0 Length: -1
и т.д. очень много аналогичных записей
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
BC_QrSvc('poof');
BC_QrFile('C:\WINDOWS\system32\poof.*');
BC_QrFile('C:\WINDOWS\SYSTEM32\windev-5060-33f2.sys');
BC_QrFile('\SystemRoot\System32\Drivers\wmibios.sys');
BC_QrFile('\SystemRoot\System32\Drivers\wmiinfo.sys');
BC_QrFile('C:\WINDOWS\system32\LightFrame3IECOM.dll');
BC_QrFile('C:\DOCUME~1\1\LOCALS~1\Temp\JKHMFBA.exe');
BC_DeleteSvc('poof');
BC_DeleteFile('C:\WINDOWS\system32\poof.*');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\windev-5060-33f2.sys');
BC_DeleteFile('C:\WINDOWS\system32\koos.exe');
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O21 - SSODL: SysRun - {D5FFE783-5276-41D1-887B-00267810A9C7} - (no file)
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
-
-
"Пофиксите" в HijackThis
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
насколько понимаю эта служба - кряк винды, чтобы она не просила активацию, если я её "пофиксю" у меня винда активацию попросит?
-
насколько понимаю эта служба - кряк винды
На SP2 все равно не работает
-
-
В карантине пусто , сейчас формирую логи, пришлю
-
На SP2 все равно не работает
- надо же, знал бы давно снёс эту нечисть, спасибо что просветили
-
Сообщение от
Looking
- надо же, знал бы давно снёс эту нечисть
, спасибо что просветили
мне придётся от ПК уйти, утром часов в 6 обязательно снова буду в ветке и выполню все дальнейшие инструкции, заранее спасибо
-
O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrame3IECOM.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
даже если не шпионы, то всё равно замедляют ваш браузер - я бы снёс
-
-
O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrame3IECOM.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
даже если не шпионы, то всё равно замедляют ваш браузер - я бы снёс
снёс, спасибо за подсказку
-
O23 - Service: JKHMFBA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\1\LOCALS~1\Temp\JKHMFBA.exe
- а что это такое? Просветите, плс.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
-
-
@Rene-gad Danke-shen.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-