Показано с 1 по 14 из 14.

svchost.exe открывает СОТНИ соединений (заявка № 44216)

  1. #1
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28

    Thumbs up svchost.exe открывает СОТНИ соединений

    svchost.exe открывает СОТНИ соединений на незнакомые сайты )))
    Помогает блокировка фаерволом процесса services.exe (естественно блокировка процесса svchost не желательна по причинам надобности локальной сети и интернета).
    Проверял на вирусы при помощи AVG8.5 free и kaspersky removal tool 7.0 (вирусная база от 20.04.2009).
    Касперский нашел Win32.mufanom.p и win32.inject.sph. Проблема не пропала.

    Спасибо всем кто сможит что посоветовать
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('RRRZNVVF');
     QuarantineFile('C:\WINDOWS\system32\drivers\RRRZNVVF.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\RRRZNVVF.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28
    выполнил скрипт, отослал карантин согласно приложению 3, прикрепояю новые логи

    p.s. после выполнения скрипта блокировка фаерволом процесса services.exe уже не помогает ;(. svchost самостоятельно отрывает большое кол-во соединений
    Вложения Вложения
    Последний раз редактировалось plug; 21.04.2009 в 09:48.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Сделайте лог gmer: http://virusinfo.info/showthread.php?t=40118
    При выполнении лога отключите антивирус и файрвол.

  6. #5
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28
    Отправляю запрошенный лог файл от Gmer.
    p.s. люди добрые помогите кто чем может, компьютер сильно сильно болен
    Вложения Вложения
    • Тип файла: log gmer.log (56.9 Кб, 3 просмотров)

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\system32\drivers\ndis.sys - пришлите согласно приложения 2 правил

  8. #7
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28
    отправил C:\WINDOWS\system32\drivers\ndis.sys согласно приложению 2.
    Как только я его выгрузил из памяти - AVG сразу нашел там троян Rootkit-Agent.DI.
    Подскажите как вылечить этот файл - он же нужен для нормальной работы сетевых сервисов... Похоже дело именно в нём.
    p.s. а правда ли что почти все (если не все) антивирусы не могут проверить/вылечить файлы, которые УЖЕ загружены как драйверы?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    файл нужо заменить на чистый из консоли восстановления и ли загрузившист с CD

  10. #9
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28
    Ага, спасибо.

    Нашел на дружественном сайте:
    Вариант 1.
    1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
    2. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
    3. В командной строке введите sfc /scannow и нажмите "ENTER".
    Windows будет проверять целостность системных файлов, понадобится диск с дистрибутивом.

    Вариант 2.
    1. Загрузиться с LiveCD (там этот файл не сможет маскироваться).
    2. Перезаписать нормальным файлом.


    Всем большое спасибо

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    sfc /scannow поможет если у вас дистрибутив с сп3 ...

  12. #11
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28
    есть )
    тока постоянно пишет "Files that are requires for Windows to run properly must be copied to the DLL Cashe."
    варинты: Retry , More Information , Cansel
    нажимаю Retry - виндовс дальше запускает проверку и через какое то вемя выдает опять тоже.
    Мне поможет постоянное нажатие Retry или надо загрузиться с диска и там запустить консоль восстановления?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в DLL Cashe у вас тоже файл подменен ... лучший вариант с CD

  14. #13
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    28
    ещё раз благодарствую

    Добавлено через 9 часов 45 минут

    заменил
    C:\WINDOWS\system32\drivers\ndis.sys
    на оригинальный - пока всё норм )
    Последний раз редактировалось plug; 22.04.2009 в 20:18. Причина: Добавлено

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,548
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )


  • Уважаемый(ая) plug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 16.09.2010, 14:34
    2. Сотни соединений с POP3 сервером
      От lamo4ok в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.10.2009, 12:40
    3. Ответов: 8
      Последнее сообщение: 03.04.2009, 12:12
    4. Ответов: 12
      Последнее сообщение: 13.02.2009, 14:12
    5. Ответов: 1
      Последнее сообщение: 16.06.2008, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00566 seconds with 22 queries