Показано с 1 по 19 из 19.

жрёт трафик через процесс svchost (заявка № 42350)

  1. #1
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29

    Thumbs up жрёт трафик через процесс svchost

    Постоянно идёт скачивание через этот процесс, заранее благодарен.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js','');
     QuarantineFile('C:\PROGRA~1\ANYREA~1\contmenu.dll','');
    end.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42350

  4. #3
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Карантин выслал, спасибо за оперативность !

  5. #4
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Скрипт не помог, проблема осталась. Подозреваю, что это не санкционированное обновление Windows. Спасибо.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    в avz
    Код:
    begin
     QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
    BC_ImportquarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    карантин пришлите.

  7. #6
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Проблема после выполнения скрипта не решилась, карантин отправил, логи после выполнения скрипта такие :
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Если не трудно, посмотрите логи ещё раз. Спасибо.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Игорь44 Посмотреть сообщение
    Проблема после выполнения скрипта не решилась, ... логи после выполнения скрипта такие :
    Оба скрипта только брали пробы на анализ и ничего не меняли в системе.
    В логах ничего подозрительного не видно.

    Может автоматически обновляться Windows и другие программы. Поскольку у вас SP2, резонно предположить, что система качает себе SP3 (если конечно соответствующий сервис включен). Установить SP3 настоятельно рекомендуется, так же как и последующие обновления.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Сервис обновления отключен везде, где только можно, это и настораживает. У нас очень дорогой трафик, может есть скрипт которым можно бы было радикально запретить обновление ?

    Добавлено через 6 часов 27 минут

    Ещё раз прошу ответить.Спасибо.
    Последний раз редактировалось Игорь44; 25.03.2009 в 15:02. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    фаервол установите и посмотрите, что и куда ломится в интернет

  12. #11
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Он установлен, порты заблокированы, но постоянно нод выдаёт сообщения по заблокированным портам...отправка идёт через svchost через локальгные порты начиная с 1000.

  13. #12
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    вот пример соединения
    Изображения Изображения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Если не ошибаюсь, то что-то тянет апдейты или ещё чего-то делает с MS

    Добавлено через 5 минут

    Код:
    Информация об ip-адресе 65.54.89.139
    
    OrgName: Microsoft Corp
    OrgID: MSFT
    Address: One Microsoft Way
    City: Redmond
    StateProv: WA
    PostalCode: 98052
    Country: US
    Последний раз редактировалось light59; 25.03.2009 в 16:35. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    как прикрыть-то эту лавочку ?

    Добавлено через 4 часа 19 минут

    Может есть какой способ ?
    Последний раз редактировалось Игорь44; 25.03.2009 в 21:07. Причина: Добавлено

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт:
    Код:
    begin
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('BITS', 4);
    SetServiceStart('wuauserv', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    ОГРОМНОЕ СПАСИБО !!!! А что это было, извините за назойливость, в двух словах...

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Происки дяди Билла
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    29
    Ещё раз БОЛЬШОЕ СПАСИБО !!!!!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\temp\tempo-109240343.tmp - Trojan-Downloader.Win32.Small.ajsf


  • Уважаемый(ая) Игорь44, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. процесс explorer грузит 50% процессора, большой трафик хоста (заявка №6151)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 12.02.2010, 12:00
    2. Ответов: 4
      Последнее сообщение: 19.01.2010, 03:20
    3. Ответов: 7
      Последнее сообщение: 21.08.2009, 21:58
    4. Через меня идет спам-трафик.
      От Аксель в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 02:02
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 01:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01650 seconds with 22 queries