Показано с 1 по 10 из 10.

Много исходящего инет трафика от svchost (заявка № 32138)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    5
    Вес репутации
    30

    Question Много исходящего инет трафика от svchost

    Проблема в следующем, позавчера вечером на одном из компьютеров KAV поймал виря (название при этом не сказал). успешно удалил его. однако после этого пошел дикий трафик в инет от процесса svchost (смотрю его описание по PID через taskinfo, пишет, что запущен сервис Запуск серверных процессов DCOM). поведение такое:

    - после ребута, при отключенном инете, процесс svchost.exe ломится на адрес 210.245.124.114 [fpt114.vdrs.net] по 80 порту (в течение 20 сек, потом на 10 сек исчезает и снова появляется на 20 сек. т.е. шлет туда постоянно что-то, точнее пытается)

    - при подключении инета, появляется порядка 20 соединений на разные адреса с большим исходящим трафиком, забивающим весь наш канал.

    Этот компьютер 3 раза полностью проверялся различными антивирусами, но ничего не обнаружилось. сейчас этому компу просто порезали 80 порт, соответственно svchost все время пытается попасть на адрес 210.245.124.114

    Логи сделал, единственное не смог отключить программу ipclient.exe. это процесс от банк-клиента "Сбербанка" для поключения к ихним сервакам. полное название проги Амикон ФПСУ/Клиент.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportAll;
    BC_DeleteSvc('synsend');
    BC_DeleteSvc('Secdrv');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=32138

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    5
    Вес репутации
    30
    логи повторно

    файл отправил

    Файл сохранён как 081016_030504_virus_48f6f5b04eeea.zip
    Размер файла 53586
    MD5 9c53b292695692a91ed65f12be975d7d
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('hlfkbk');
     QuarantineFile('C:\WINDOWS\system32\drivers\ukjztxkfnbo.sys','');
     QuarantineFile('00000434.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ukjztxkfnbo.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\00000434.sys ');     
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('hlfkbk');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    5
    Вес репутации
    30
    вроде помогло. а что это за гадость то такая?

    логи в приложении, карантин залил

    Файл сохранён как 081016_180116_virus_48f7c7bc50bde.zip
    Размер файла 1738
    MD5 2dd4ce20765c14a317dacf992bb23f93
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ничего зловредного ...

  8. #7
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    5
    Вес репутации
    30
    всмысле ничего зловредного в логах? или в присланном карантине?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах

  10. #9
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    5
    Вес репутации
    30
    это радует, спасибо. хотя конечно хотелось бы узнать что это была за зараза

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,540
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\secdrv.sys - Rootkit.Win32.Agent.eix (DrWEB: Trojan.PWS.Corp.3)


  • Уважаемый(ая) faZZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 03.02.2011, 02:16
    2. фаервол для исходящего трафика
      От NRA в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 25.08.2010, 14:33
    3. Бешеное поедание исходящего трафика
      От Wolfikus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 05:52
    4. Ответов: 4
      Последнее сообщение: 12.09.2008, 16:49
    5. Ответов: 2
      Последнее сообщение: 24.12.2007, 23:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00720 seconds with 23 queries