-
Junior Member
- Вес репутации
- 59
Порты сами открываються, Internet explorer бесконечно набирает обьём в оперативке
Здравствуйте.
У меня стоит Симантек антивирус(постоянно обновляю) и аутпост фаервол.
Машину выключаю режимом слип - тоесть машина днями работает без перезагрузки. И вот проработав так неделю тормозит жутко, смотрю один процес интернет эксплоера занимает 360/750 Мб в ОЗУ/Свап другой в раза 4 меньше. При завершении обоих процесов закрылись окна интернет експлоера( один процес закрыл 4 окна, другой 2).
Глянул в ваервол, том порты ТСП открыты- много портов начиная с 1025 и попорядку до 4999 (по журналу видно что потом процес сам начинаеться с нуля=1025)....вот пример записи----------------
06.03.2008 22:02:28 svchost.exe ИСХ БЛОКИРОВАНО TCP 216.195.56.19 2516 localhost(любой) 1040 Заблокировано Контролем скрытых процессов 0 Байт 0 Байт
--------------------------------------------------------216.195.56.19:2516 везде одинаков
процес которые это делает svchost.exe.
Удалил все правила для этого процесса в фаерволе и при перезагрузке фаервол выдал что winlogon.exe запускает WLCtrl32.dll и тот хочет доступ в сеть, взял блокировать
Результат: сетевая активность постоянно winlogon.exe
winlogon.exe ИСХ БЛОКИРОВАНО TCP 208.66.195.71 HTTP localhost(любой) 2726 Заблокировано Контролем Компонентов теперь айпи удаленного узла в цикле меняються [208.66.195.71 208.66.195.15 66.232.113.80 69.46.27.141] но порты не открываються.
ещя левая библиотека обнаружилась(нашол как недавно созданный файл)
otx50.dll яндекс на "otx50" выдал один результат котырый однозначно говорит что это связано со спамом
обе библиотеки уже хитростями удалил, симптомы не наблюдаються, но здесь уже с подобной длл была проблема и я так понял что человек не доконца вычистил компьютер. Кстате в его рекомендациях к лечению со мной совпадает только онноя dll
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
BC_DeleteSvc('ntosnh.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\ntosnh.sys','');
DeleteFile('C:\WINDOWS\system32\ldr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 59
сделал но!
на карантин ничего не взяло... вообще имена файлов знакомы, в начале года по руководству на ВирусЛист.ру что-то чистил и там они были в списке Бяк.
Кстате ещё бывают проблемы и судя по всему не правайдерские. впн соеденение нельзя установить, иногда помогает выключение фаервола, иногда только перезагрузка....
! после проделанного скрипта раз 3 перегружался пока впн установился.
и ещё если существенно... у меня OS Selector Acronis стоит, он же некоторые файлы перезаписывает перед каждой загрузкой. (никакой резервной арзивации/востановления Acronis не делает, тоесть только стандарт. для правильной загрузки опер. сист.
Последний раз редактировалось Kurk_SS; 22.06.2008 в 10:37.
-
в логах ничего подозрительного ....
-