Добрый день.
svchost.exe из SysWow64 открывает кучу соединений на 445 порт посторонних случайных хостов (сканирует сеть?). При этом сам этот svchost.exe определяется как безопасный на VirusTotal.
Printable View
Добрый день.
svchost.exe из SysWow64 открывает кучу соединений на 445 порт посторонних случайных хостов (сканирует сеть?). При этом сам этот svchost.exe определяется как безопасный на VirusTotal.
Уважаемый(ая) [B]xlives[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
Вам ведь Автологер об этом сообщал, верно?
Собрал логи с консоли. Прикрепил.
Но логгер ничего не сообщал по поводу терминального режима.
[URL=http://virusinfo.info/showthread.php?t=4491]"Пофиксите" в HijackThis[/URL]:
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080;https=127.0.0.1:8080 (disabled)
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O20-32 - HKLM\..\Winlogon\Notify\ScCertProp : [DllName] = (no file)
O22 - Task: VKDJ - C:\ProgramData\VkontakteDJ\VkontakteDJ.exe /H (file missing)
[/CODE]
Затем:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Файлы во вложении.
[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2107892148-4096089976-1301009665-1000\...\MountPoints2: {2f123373-23f0-11e0-9265-806e6f6e6963} - E:\InstAll.exe
HKU\S-1-5-21-2107892148-4096089976-1301009665-1000\...\MountPoints2: {446e4983-4be0-11e8-b215-74f06db23a24} - F:\AutoRun.exe
C:\Users\Virtual\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
CHR HKLM-x32\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [92]
FirewallRules: [{2FBFD9BD-F112-4702-8F28-33F943892EC4}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
Файл прилагаю.
Что сейчас с проблемой?
Вроде ушла проблема. 2 дня полёт нормальный! Спасибо!
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: [url]www.safezone.cc[/url]
DateLog: 20.12.2020 02:47:32
Path starting: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
VersionXML: 8.39is-12.12.2020
___________________________________________________________________________
Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 19.01.2011 17:27:49
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE
Системный диск: C: ФС: [NTFS] Емкость: [60 Гб] Занято: [49.3 Гб] Свободно: [10.7 Гб]
------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 10.0.9200.17183 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
Контроль учётных записей пользователя [b]включен[/b] (Уровень 2)
[color=red][b]Автоматическое обновление отключено[/b][/color]
Дата установки обновлений: 2015-01-01 13:13:41
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color]
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
Microsoft Office 2013 x86 v.15.0.4420.1017
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.22 (64-bit) v.5.22 [color=red][b]Внимание! [url=https://github.com/sandboxie-plus/Sandboxie/releases]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.1 v.4.5.50938 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
NVIDIA GeForce Experience 2.5.14.5 v.2.5.14.5 [color=red][b]Внимание! [url=https://www.nvidia.com/ru-ru/geforce/geforce-experience/]Скачать обновления[/url][/b][/color]
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
VMware Player v.3.1.6.30422 [color=red][b]Внимание! [url=https://download3.vmware.com/software/player/file/VMware-player-16.1.0-17198959.exe]Скачать обновления[/url][/b][/color]
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
Microsoft Office Visio 2010 v.14.0.7015.1000 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color]
ASUS Live Update v.2.5.9 [color=red][b]Возможно Ваша система скомпроментирована.[/b][/color]. [b]Скачайте [url=https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip]утилиту диагностики[/url] для проверки.[/b]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.31 (64-разрядная) v.5.31.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
Far Manager 3 x64 v.3.0.4400 [color=red][b]Внимание! [url=https://www.farmanager.com/download.php?l=en]Скачать обновления[/url][/b][/color]
7-Zip 9.20 [color=red][b]Данная версия программы больше не поддерживается разработчиком.[/b][/color]. [b]Удалите старую версию, [url=https://www.7-zip.org/download.html]скачайте[/url] и установите новую.[/b]
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win7 v.2.4.8-I602-Win7 [color=red][b]Внимание! [url=https://openvpn.net/community-downloads/]Скачать обновления[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
FlashGet(JetCar) [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
µTorrent v.2.2.0 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
--------------------------------- [ SPY ] ---------------------------------
Remote Manipulator System - Host v.6.236.0000 [color=red][b]Внимание! Программа удаленного доступа![/b][/color]
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 v.8.0.1810.13 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^[/b][/color]
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 10.0.5 v.10.0.5 [color=red][b]Внимание! [url=https://files3.codecguide.com/K-Lite_Codec_Pack_1590_Mega.exe]Скачать обновления[/url][/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.194 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 24 NPAPI v.24.0.0.194 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Reader XI (11.0.10) - Russian v.11.0.10 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Acrobat Reader DC[/url][/b].
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 52.9.0 ESR (x86 ru) v.52.9.0 [color=red][b]Внимание! [url=https://www.mozilla.org/en-US/firefox/organizations/all/]Скачать обновления[/url][/b][/color]
Pale Moon 26.5.0 (x86 en-US) v.26.5.0 [color=red][b]Внимание! [url=https://www.palemoon.org/download.shtml]Скачать обновления[/url][/b][/color]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Sandboxie Service (SbieSvc) - Служба работает
C:\Program Files\Sandboxie\SbieSvc.exe v.5.22.0.0
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
[URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]
Спасибо!