Printable View
[QUOTE=PavelA;201732][url]http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx[/url] - ссылочка на описание.
Скриншот: [url]http://technet.microsoft.com/en-us/sysinternals/bb896653.ProcessExplorer(en-us,MSDN.10).jpg[/url]
Через netview получаешь PID процесса, а затем в Process explorer ищешь его и открываешь "+", видишь что он вызывает.[/QUOTE]
сделал...
и как теперь узнать где сидит гадость?
В ПроцессЭксплорере при наведении мышА на svchost должен отобразиться список загруженных служб.
Сделаешь скриншот, если получится.
надеюсь вы это имели в виду?
Тот, на который ты навел - связан с автомат обновлением.
В общем-то список служб выглядит вполне нормально. Ничего лишнего не видно.
Попробуй с остальными, которые лезут наружу. Увидишь с какими службами связаны
так даже если я убью процесс автообновления - через этот svchost через его PID идет загрузка трафика..... другие svchost в сеть не лезут...
вот что показывает TCPView
именно так он и поедает трафиик... заходя на неизвестные мне сайты...
wuauclt.exe - проверь на вирустотал.
[QUOTE=PavelA;201833]wuauclt.exe - проверь на вирустотал.[/QUOTE]
проверил - ни один из антивирусников ничего не обнаружил!!!
может ещё кого проверить то?
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate
- посмотри, что вот в этом ключе. Может сервер левый затясался.
Общий доступ в Интернет случайно не открыт. Есть вариант. что кто-то из сетки через твою машину лезет.
Службу BITS можно попробовать еще отключить.
Да, проверьте на ВирусТотал файлы:
GAGPDrv.sys (скорее всего он здесь: C:\WINDOWS\System32\Drivers\GAGPDrv.sys)
WmdmPmSN.sys (скорее всего здесь: C:\WINDOWS\System32\Drivers\WmdmPmSN.sys);
И на всякий случай можете еще проверить компьютер полностью с помощью [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url] (на закладке "Автоматическая проверка" отметьте все жесткие диски и проверьте).
@kps
Вот этого не нашлось - WmdmPmSN.sys. См. выше
Мне кажется, что надо [b]попробовать[/b] сначала исправить следующие недостатки:
[quote]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/quote]
Потом предлагаю выполнить то, что описано здесь:
[url]http://forum.kaspersky.com/index.php?showtopic=30184[/url]
Внимательно! Отключить службу это Поставить её тип запуска на 'Отключено' (+ Применить - ОК). Остановить не надо, 'убить процесс' тем более не надо - просто перезагрузить комп. Вы должны выйти из Интернета до того, как начинать!
Потом уже разобраться. Как вам это?
Paul
[QUOTE=PavelA;201922]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate
- посмотри, что вот в этом ключе. Может сервер левый затясался.
Общий доступ в Интернет случайно не открыт. Есть вариант. что кто-то из сетки через твою машину лезет.
Службу BITS можно попробовать еще отключить.[/QUOTE]
в реестре такого ключа нет вообще - я про виндоус апдейт по вашей ссылке...
общий доступ не открыт... по сетке поэтому никто лазить не может...
службу Bits у себя не нашел - где она???
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=kps;201923]Да, проверьте на ВирусТотал файлы:
GAGPDrv.sys (скорее всего он здесь: C:\WINDOWS\System32\Drivers\GAGPDrv.sys)
WmdmPmSN.sys (скорее всего здесь: C:\WINDOWS\System32\Drivers\WmdmPmSN.sys);
И на всякий случай можете еще проверить компьютер полностью с помощью [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url] (на закладке "Автоматическая проверка" отметьте все жесткие диски и проверьте).[/QUOTE]
таких файлов на компе нет!
проверку сделал - всё чисто!
[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]
[QUOTE=p2u;201973]Мне кажется, что надо [b]попробовать[/b] сначала исправить следующие недостатки:
Потом предлагаю выполнить то, что описано здесь:
[url]http://forum.kaspersky.com/index.php?showtopic=30184[/url]
Внимательно! Отключить службу это Поставить её тип запуска на 'Отключено' (+ Применить - ОК). Остановить не надо, 'убить процесс' тем более не надо - просто перезагрузить комп. Вы должны выйти из Интернета до того, как начинать!
Потом уже разобраться. Как вам это?
Paul[/QUOTE]
службы отключил - ничего не изменилось..
закачка в фоновом режиме продолжается -а кто качает - х.з.
Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
[QUOTE=kps;202343]Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.[/QUOTE]
есть такое дело!
C:\WINDOWS\system32\ufdsvc.exe - вот этого зашли к нам на проверку.
[QUOTE=PavelA;203045]C:\WINDOWS\system32\ufdsvc.exe - вот этого зашли к нам на проверку.[/QUOTE]
Файл сохранён как 080317_035215_ufdsvc_47de313f1bc1d.zip
Размер файла 29583
MD5 93af71127dfc1d9665823d1b95b7a953
Проверьте следующие файлы на всякий случай на ВирусТотал и сообщите результат:
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Maxus\maxus.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\WinRAR\WinRAR.exe
Кстати, программа C:\Program Files\Maxus\maxus.exe Вам знакома?
Сделайте проверку целостности системных файлов:
a. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
b. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
c. В командной строке введите sfc /scannow и нажмите "ENTER".
[QUOTE=kps;203071]Проверьте следующие файлы на всякий случай на ВирусТотал и сообщите результат:
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Maxus\maxus.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\WinRAR\WinRAR.exe
Кстати, программа C:\Program Files\Maxus\maxus.exe Вам знакома?
Сделайте проверку целостности системных файлов:
a. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
b. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
c. В командной строке введите sfc /scannow и нажмите "ENTER".[/QUOTE]
все файлы кроме максуса чистые - но последний я ставил сам - поэтому знаю почему антивирусники его не любят, думаю вы тоже догадыватесь - но эта программа отношения к делу не имеет.
далее - целостность файлов проверял - всё нормально!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]