Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

services.exe проявляет большую сетевую активность (заявка № 9914)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35

    Exclamation services.exe проявляет большую сетевую активность

    Добрый день всем!
    Ситуация такая: словил с одного сайтика тьму троянцев. Антивирь: Avast последней версии, этих троянцев выловил полным сканированием, но они появлялись по новой. Типа троян даунлоадер какой то у меня завелся. Все это дело пофиксил настройками автозагрузки и аутпостом. Осталось следующее: services.exe, который находится в windows\system32 проявляет большую сетевую активность. Аутпост его блокирует. В целях эксперимента - дал ему доступ в сеть на минутку... троянцы снова не полезли вроде. По крайней мере аутпост с авастом молчали. После этого снова заблокировал services.exe Посмотрел дату его изменения - 2004й год. Но это врядли о чем то говорит.

    Далее, все сделал как написано в правилах, результаты во вложениях. Пункт 10 "Скрипт сбора информации для раздела "Помогите!" в обычном режиме приводил к перезагрузке компа. Нормально его удалось сделать только в safe mode

    После всех проделанных действий сетевая активность services.exe осталась, аутпост по прежнему его в сеть не пускает. Вот выдержка, куда этот процесс ломится:

    16:45:56 59.124.237.86 11590
    16:45:55 85.152.196.149 11563
    16:45:54 211.229.20.126 8557
    16:45:52 83.37.69.176 50252
    16:45:49 69.140.146.140 12211
    16:45:47 83.50.96.43 11220
    16:45:45 211.51.122.173 3517
    16:45:41 216.145.132.122 5662
    16:45:39 172.180.168.47 10926
    16:45:37 125.177.33.8 3127
    16:45:35 121.188.110.205 4820
    16:45:33 200.122.45.133 9338
    16:45:28 90.7.106.167 10398
    16:45:26 172.180.168.47 10926
    16:45:24 189.13.18.173 7662
    16:45:22 200.122.45.133 9338
    16:45:20 83.37.69.176 50252
    16:45:18 216.145.132.122 5662
    16:45:16 89.85.252.147 4665
    16:45:12 88.7.242.113 4723
    16:45:10 217.172.245.121 6889
    16:45:05 213.103.32.11 11003
    16:45:03 83.50.96.43 11220
    16:45:01 89.85.252.147 4665
    16:44:59 81.242.170.216 3840
    16:44:55 211.215.254.14 3209
    16:44:53 142.161.78.218 7422
    16:44:51 213.103.32.11 11003
    16:44:46 79.9.242.3 6179
    16:44:44 85.103.33.79 7343
    16:44:43 81.202.215.95 8970
    16:44:42 142.161.78.218 7422


    Спасибо за ранее за помощь.
    Вложения Вложения
    Последний раз редактировалось tolyan.com; 21.05.2007 в 16:18.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip .

  4. #3
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Поправил. В обычном режиме комп уходил в ребут при выполнении этого скрипта. Сделал в safe mode. вложение поправлено в первом посте этой темы

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Очистите временные файлы Internet Explorer'a.

    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\dcsws2.dll','');
     DeleteFile('C:\xx1232255.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-790525478-583907252-839522115-1003\Dc932.rar');
     DeleteFile('C:\WINDOWS\system32\sony.exe.exe');
     DeleteFile('C:\WINDOWS\system32\kernels32.exe');
     DeleteFile('C:\WINDOWS\system32\a3dxx.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Все сделал. После этого активность сервиса сохранилась.
    Карантин прислал только сегодняшний.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(False);
    end.
    После перезагрузки, повторите все три лога из правил.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Файл в карантине чистый.
    Пофиксите эту строчку, если осталась:
    Код:
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll
    А вот это что за службы у вас прописаны? -
    Код:
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Обновляемый сервис (Service) - Unknown owner - D:\Proj\StarterAll\MyService\#Work\MyService.exe (file missing)
    Попробуйте сейчас сделать все логи в нормальном режиме.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Пофиксить строчку, это что значит? Удалить из вышеприведенного скрипта? Я ж его уже выполнял.
    А на счет служб: первый - не знаю что такое. Судя по всему софтинка какая-то была. Второй - это по работе. Нужно было разработать технологию апдейта сервиса.

    Сейчас я выполню скриптик

    begin
    SetAVZPMStatus(True);
    RebootWindows(False);
    end.

    и выложу три файла логов.
    Спасибо за подмогу...

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксить строчку, это что значит?
    http://virusinfo.info/showthread.php?t=4491
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Строчку
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll
    пофиксил. Перегрузился.

    Далее, при выполнении пункта правил 8
    "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" в нормальном режиме (не safe mode) в самом конце комп уходит в ребут, и в результате в каталоге логов AVZ вместо
    virusinfo_syscure.zip у меня появляется virusinfo_cure.zip
    Скрипт выполняется при отключенной сети, антивирусе и фаерволе.
    Имеет ли смысл делать повторно файлы логов в safe mode и выкладывать их тут?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Имеет ли смысл делать повторно файлы логов в safe mode и выкладывать их тут?
    Сделайте, как советовал Muffler в сообщении #6.

  13. #12
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Именно это и пытался делать. Некорректно отрабатывают скрипты. Насколько я понял, полсе 8го пункта правил в ребут комп уходить не должен, и должен создавать virusinfo_syscure.zip Этого у меня не происходит, соответственно, выполнить рекомендации Muffler'a я могу только в Safe Mode. О чем и спрашивал в предыдущем посте, имеет ли смысл это делать?

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Сделайте. Как минимум, результаты скрипта удаления проверим.
    А скрипт п.10 (syscheck) и лог HijackThis делайте в нормальном режиме.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Готово. Скрипты АВЗ делались только в safe mode. Иначе в ребут уходил комп =( HJT сделал в обычном режиме.
    Вложения Вложения

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Скрипты АВЗ делались только в safe mode. Иначе в ребут уходил комп =(
    Так и было задумано.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\Program Files\WinPcap\rpcapd.exe','');
    DeleteFile('C:\Documents and Settings\Programer 5\Local Settings\Temp\Temporary Internet Files\Content.IE5\WQY1BMUI\sony[2].exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карнтин по правилам.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Цитата Сообщение от MaXim Посмотреть сообщение
    Так и было задумано.
    Да вот не совсем. Потому как ребут - просто экран тухнет, и после этого нету файла virusinfo_syscure.zip а есть virusinfo_cure.zip Так что в нехороший, незапланированный ребут комп уходит... =(

    Сейчас скриптик сделаю...

  19. #18
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Цитата Сообщение от Bratez Посмотреть сообщение
    После перезагрузки пришлите карнтин по правилам.
    Сделано

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Файл в карантине чистый.
    Сделаем так: в нормальном режиме в AVZ выполните стандартный скрипт #1, затем "Файл - Исследование системы", сохраните протокол, сархивируйте и прикрепите сюда.

  21. #20
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    35
    Пробовал. В ребут уходит =( В safe mode не пробовал. Если имеет смысл, то сделаю.

    PS: Что то мне уже подсказывает, что при таком поведении винды лучше ее всю целиком переставить. И до виря были эксцессы с ребутом. На определенные действия - повторялся ребут...

  • Уважаемый(ая) tolyan.com, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Сильная активность SERVICES.exe
      От Kest007 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.09.2010, 19:30
    2. Ответов: 7
      Последнее сообщение: 21.03.2009, 10:23
    3. Ответов: 3
      Последнее сообщение: 05.02.2009, 15:59
    4. Ответов: 32
      Последнее сообщение: 02.09.2008, 20:45
    5. Роутер ругается на сетевую активность
      От Luka_ в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.03.2008, 15:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01559 seconds with 22 queries