Куреитом полную проверку делал или только начальную?
Printable View
Куреитом полную проверку делал или только начальную?
делал полную проверку... всё чисто!
[size="1"][color="#666686"][B][I]Добавлено через 1 час 20 минут[/I][/B][/color][/size]
итак - что вновь обнаружил... всё-таки какой-то гад сидит внутри системы...
TCPView - вот что показывает - естественно цвето-музыка.... вот некоторые строчки
svchost.exe:828 TCP mk_gurbich:1761 cds459.lon.llnw.net:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1763 cds462.lon.llnw.net:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1767 cds459.lon.llnw.net:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1765 213-248-111-27.customer.teliacarrier.com:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1768 213-248-111-16.customer.teliacarrier.com:http SYN_SENT
и вот этот гад - в течение дня где-то 50 метров траффика кушает..
как его найти и уничтожить???
[size="1"][color="#666686"][B][I]Добавлено через 1 час 33 минуты[/I][/B][/color][/size]
посчитал - сейчас у меня работаю 12 svchost вместо положенных 4-5.... как от них избавиться???
Логи нужны новые. Только с закрытыми qip & thebat!. М.б. что-то новое залетело, кстати без них svchost будет поменьше.
про новое - это вряд ли...
всё уже давно сидит...
закрыл НОД, Бат и QIP и заодно маил агент.
новые логи прилагаю.
C:\WINDOWS\System32\Drivers\mdmMod2.sys - пришлите согласно приложения 3 правил ....
[QUOTE=V_Bond;200945]C:\WINDOWS\System32\Drivers\mdmMod2.sys - пришлите согласно приложения 3 правил ....[/QUOTE]
это программа - Реан-Поли от Медиком МТД.
про добавление - чтобы отправить согласно приложения 3 - этот файл должен быть в карантине - но AVZ его туда не отправляет.
как по-другому вам его прислать?
если это известная вам программа , присылать не нужно ....
какие -то проблемы остались ?
[QUOTE=V_Bond;201185]если это известная вам программа , присылать не нужно ....
какие -то проблемы остались ?[/QUOTE]
проблема всё та же - постоянно съедается траффик...
приводил ссылки то что пишет TCPView
а кто его ест и как от трояна или кто там сидит избавиться - не знаю!!!
ни один антивирус его не видит!
Пришли вот этот файлик:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WmdmPmSN.sys','');
BC_QrSvc('WmdmPmSN');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Что-то его совершенно никто в гугле не знает, подозрительно мне это.
InterBase дает трафик ...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[code]
посчитал - сейчас у меня работаю 12 svchost вместо положенных 4-5.... как от них избавиться???
[/code]
может быть больше двадцати ...
[QUOTE=PavelA;201213]Пришли вот этот файлик:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WmdmPmSN.sys','');
BC_QrSvc('WmdmPmSN');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Что-то его совершенно никто в гугле не знает, подозрительно мне это.[/QUOTE]
может этот файл руками вам прислать?
потому что после выполнения вашего скрипта - папка появилась в карантине - но она пустая... соотвественно через AVZ ничего заархивировать нельзя!
что делать???
и ещё - после выполнения ваших скриптов - при перезагрузке или выключении компа он минуты 3-4 думает - а только потом выключается. в чем может быть причина повисания перед выключением???
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=V_Bond;201214]InterBase дает трафик ...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[code]
посчитал - сейчас у меня работаю 12 svchost вместо положенных 4-5.... как от них избавиться???
[/code]
может быть больше двадцати ...[/QUOTE]
как от него избавиться? или так и должно быть????
но про траффик - повторюсь - в TCPView то видно что кто-то заходит на левые сайты...
Файлик этот есть на диске? Если есть, то попробуй проделать скрипт еще раз в защищенном режиме.
Для анализа работы сетки можно попробовать триальную версию X-Netstat с сайта [url]www.freshsw.com[/url] Программа показывает много чего интересного.
Подвисает при перезагрузке по причине того, что запущенные процессы завершаются без оповещения.
нет - такого файла на диске нет! может он как-то по-другому называется???
про перезагрузку - раньше ведь такого не было...
а теперь и когда без скриптов перезагружаешь комп - всё подвисает после надписи завершение работы...
какие варианты исправления долгого выключения?
в AVZ Сервис - Диспетчер служб - выбрать справа показать ВСЕ
Найти:
Служба серийных номеров переносных устройств мультимедиа
Сверху есть кнопочки для копирования в карантин. М.б. получиться таким способом получить этот файл
эта служба не запущена - и при попытке скопировать в карантин - пишет что всё скопирована - но папка всё же остается пустой!
вот что пишет AVZ
Ошибка карантина файла, попытка прямого чтения (WmdmPmSN.sys)
Карантин с использованием прямого чтения - ошибка
Значит, можно к ногтю ее, оттуда же.
[QUOTE=PavelA;201367]Значит, можно к ногтю ее, оттуда же.[/QUOTE]
не понял - откуда оттуда же?
такого файла на диске нет!!!
Из Менеджера сервисов AVZ ее можно удалить.
По теме: запросил "помощь зала". Жди вопросов.
Значится так. Надо скачать Process Explorer, он маленький. Раньше жил на sysinternals.com
В нем, если навести мышу на svchost, то он покажет что он запускает.
Особо естественно интересны те, которые стучатся наружу.
Вообще, можно их всех (svchost) поизучать.
THK borka за совет.
[QUOTE=PavelA;201414]Из Менеджера сервисов AVZ ее можно удалить.
По теме: запросил "помощь зала". Жди вопросов.
Значится так. Надо скачать Process Explorer, он маленький. Раньше жил на sysinternals.com
В нем, если навести мышу на svchost, то он покажет что он запускает.
Особо естественно интересны те, которые стучатся наружу.
Вообще, можно их всех (svchost) поизучать.
THK borka за совет.[/QUOTE]
из менеджера сервисов - удалил - хоть и он был не запущен!
далее...
я готов к вопросам!!!
скачал процесс экслпорер - установил.... а дальше что с ним делать то???
показывает что svchost заходит на сайты - а как выяснить какой файл запускает эту цепочку реакций??? т.е. как поизучать?
[url]http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx[/url] - ссылочка на описание.
Скриншот: [url]http://technet.microsoft.com/en-us/sysinternals/bb896653.ProcessExplorer(en-us,MSDN.10).jpg[/url]
Через netview получаешь PID процесса, а затем в Process explorer ищешь его и открываешь "+", видишь что он вызывает.