Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

services.exe проявляет большую сетевую активность (заявка № 9914)

  1. #1
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62

    Exclamation services.exe проявляет большую сетевую активность

    Добрый день всем!
    Ситуация такая: словил с одного сайтика тьму троянцев. Антивирь: Avast последней версии, этих троянцев выловил полным сканированием, но они появлялись по новой. Типа троян даунлоадер какой то у меня завелся. Все это дело пофиксил настройками автозагрузки и аутпостом. Осталось следующее: services.exe, который находится в windows\system32 проявляет большую сетевую активность. Аутпост его блокирует. В целях эксперимента - дал ему доступ в сеть на минутку... троянцы снова не полезли вроде. По крайней мере аутпост с авастом молчали. После этого снова заблокировал services.exe Посмотрел дату его изменения - 2004й год. Но это врядли о чем то говорит.

    Далее, все сделал как написано в правилах, результаты во вложениях. Пункт 10 "Скрипт сбора информации для раздела "Помогите!" в обычном режиме приводил к перезагрузке компа. Нормально его удалось сделать только в safe mode

    После всех проделанных действий сетевая активность services.exe осталась, аутпост по прежнему его в сеть не пускает. Вот выдержка, куда этот процесс ломится:

    16:45:56 59.124.237.86 11590
    16:45:55 85.152.196.149 11563
    16:45:54 211.229.20.126 8557
    16:45:52 83.37.69.176 50252
    16:45:49 69.140.146.140 12211
    16:45:47 83.50.96.43 11220
    16:45:45 211.51.122.173 3517
    16:45:41 216.145.132.122 5662
    16:45:39 172.180.168.47 10926
    16:45:37 125.177.33.8 3127
    16:45:35 121.188.110.205 4820
    16:45:33 200.122.45.133 9338
    16:45:28 90.7.106.167 10398
    16:45:26 172.180.168.47 10926
    16:45:24 189.13.18.173 7662
    16:45:22 200.122.45.133 9338
    16:45:20 83.37.69.176 50252
    16:45:18 216.145.132.122 5662
    16:45:16 89.85.252.147 4665
    16:45:12 88.7.242.113 4723
    16:45:10 217.172.245.121 6889
    16:45:05 213.103.32.11 11003
    16:45:03 83.50.96.43 11220
    16:45:01 89.85.252.147 4665
    16:44:59 81.242.170.216 3840
    16:44:55 211.215.254.14 3209
    16:44:53 142.161.78.218 7422
    16:44:51 213.103.32.11 11003
    16:44:46 79.9.242.3 6179
    16:44:44 85.103.33.79 7343
    16:44:43 81.202.215.95 8970
    16:44:42 142.161.78.218 7422


    Спасибо за ранее за помощь.
    Вложения Вложения
    Последний раз редактировалось tolyan.com; 21.05.2007 в 16:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вместо virusinfo_cure.zip должен быть virusinfo_syscure.zip .

  4. #3
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Поправил. В обычном режиме комп уходил в ребут при выполнении этого скрипта. Сделал в safe mode. вложение поправлено в первом посте этой темы

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Очистите временные файлы Internet Explorer'a.

    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\dcsws2.dll','');
     DeleteFile('C:\xx1232255.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-790525478-583907252-839522115-1003\Dc932.rar');
     DeleteFile('C:\WINDOWS\system32\sony.exe.exe');
     DeleteFile('C:\WINDOWS\system32\kernels32.exe');
     DeleteFile('C:\WINDOWS\system32\a3dxx.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Все сделал. После этого активность сервиса сохранилась.
    Карантин прислал только сегодняшний.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(False);
    end.
    После перезагрузки, повторите все три лога из правил.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл в карантине чистый.
    Пофиксите эту строчку, если осталась:
    Код:
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll
    А вот это что за службы у вас прописаны? -
    Код:
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Обновляемый сервис (Service) - Unknown owner - D:\Proj\StarterAll\MyService\#Work\MyService.exe (file missing)
    Попробуйте сейчас сделать все логи в нормальном режиме.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Пофиксить строчку, это что значит? Удалить из вышеприведенного скрипта? Я ж его уже выполнял.
    А на счет служб: первый - не знаю что такое. Судя по всему софтинка какая-то была. Второй - это по работе. Нужно было разработать технологию апдейта сервиса.

    Сейчас я выполню скриптик

    begin
    SetAVZPMStatus(True);
    RebootWindows(False);
    end.

    и выложу три файла логов.
    Спасибо за подмогу...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксить строчку, это что значит?
    http://virusinfo.info/showthread.php?t=4491
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Строчку
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll
    пофиксил. Перегрузился.

    Далее, при выполнении пункта правил 8
    "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" в нормальном режиме (не safe mode) в самом конце комп уходит в ребут, и в результате в каталоге логов AVZ вместо
    virusinfo_syscure.zip у меня появляется virusinfo_cure.zip
    Скрипт выполняется при отключенной сети, антивирусе и фаерволе.
    Имеет ли смысл делать повторно файлы логов в safe mode и выкладывать их тут?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Имеет ли смысл делать повторно файлы логов в safe mode и выкладывать их тут?
    Сделайте, как советовал Muffler в сообщении #6.

  13. #12
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Именно это и пытался делать. Некорректно отрабатывают скрипты. Насколько я понял, полсе 8го пункта правил в ребут комп уходить не должен, и должен создавать virusinfo_syscure.zip Этого у меня не происходит, соответственно, выполнить рекомендации Muffler'a я могу только в Safe Mode. О чем и спрашивал в предыдущем посте, имеет ли смысл это делать?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте. Как минимум, результаты скрипта удаления проверим.
    А скрипт п.10 (syscheck) и лог HijackThis делайте в нормальном режиме.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Готово. Скрипты АВЗ делались только в safe mode. Иначе в ребут уходил комп =( HJT сделал в обычном режиме.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Скрипты АВЗ делались только в safe mode. Иначе в ребут уходил комп =(
    Так и было задумано.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\Program Files\WinPcap\rpcapd.exe','');
    DeleteFile('C:\Documents and Settings\Programer 5\Local Settings\Temp\Temporary Internet Files\Content.IE5\WQY1BMUI\sony[2].exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карнтин по правилам.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    Так и было задумано.
    Да вот не совсем. Потому как ребут - просто экран тухнет, и после этого нету файла virusinfo_syscure.zip а есть virusinfo_cure.zip Так что в нехороший, незапланированный ребут комп уходит... =(

    Сейчас скриптик сделаю...

  19. #18
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от Bratez Посмотреть сообщение
    После перезагрузки пришлите карнтин по правилам.
    Сделано

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл в карантине чистый.
    Сделаем так: в нормальном режиме в AVZ выполните стандартный скрипт #1, затем "Файл - Исследование системы", сохраните протокол, сархивируйте и прикрепите сюда.

  21. #20
    Junior Member Репутация
    Регистрация
    21.05.2007
    Сообщений
    10
    Вес репутации
    62
    Пробовал. В ребут уходит =( В safe mode не пробовал. Если имеет смысл, то сделаю.

    PS: Что то мне уже подсказывает, что при таком поведении винды лучше ее всю целиком переставить. И до виря были эксцессы с ребутом. На определенные действия - повторялся ребут...

  • Уважаемый(ая) tolyan.com, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Сильная активность SERVICES.exe
      От Kest007 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.09.2010, 19:30
    2. Ответов: 7
      Последнее сообщение: 21.03.2009, 10:23
    3. Ответов: 3
      Последнее сообщение: 05.02.2009, 15:59
    4. Ответов: 32
      Последнее сообщение: 02.09.2008, 20:45
    5. Роутер ругается на сетевую активность
      От Luka_ в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.03.2008, 15:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00152 seconds with 20 queries