Показано с 1 по 19 из 19.

жрёт трафик через процесс svchost (заявка № 42350)

  1. #1
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55

    Thumbs up жрёт трафик через процесс svchost

    Постоянно идёт скачивание через этот процесс, заранее благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js','');
     QuarantineFile('C:\PROGRA~1\ANYREA~1\contmenu.dll','');
    end.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42350

  4. #3
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Карантин выслал, спасибо за оперативность !

  5. #4
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Скрипт не помог, проблема осталась. Подозреваю, что это не санкционированное обновление Windows. Спасибо.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    в avz
    Код:
    begin
     QuarantineFile('C:\Program Files\Opera\profile\cache4\opr00PBD.js','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
    BC_ImportquarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    карантин пришлите.

  7. #6
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Проблема после выполнения скрипта не решилась, карантин отправил, логи после выполнения скрипта такие :
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Если не трудно, посмотрите логи ещё раз. Спасибо.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Игорь44 Посмотреть сообщение
    Проблема после выполнения скрипта не решилась, ... логи после выполнения скрипта такие :
    Оба скрипта только брали пробы на анализ и ничего не меняли в системе.
    В логах ничего подозрительного не видно.

    Может автоматически обновляться Windows и другие программы. Поскольку у вас SP2, резонно предположить, что система качает себе SP3 (если конечно соответствующий сервис включен). Установить SP3 настоятельно рекомендуется, так же как и последующие обновления.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Сервис обновления отключен везде, где только можно, это и настораживает. У нас очень дорогой трафик, может есть скрипт которым можно бы было радикально запретить обновление ?

    Добавлено через 6 часов 27 минут

    Ещё раз прошу ответить.Спасибо.
    Последний раз редактировалось Игорь44; 25.03.2009 в 15:02. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    фаервол установите и посмотрите, что и куда ломится в интернет

  12. #11
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Он установлен, порты заблокированы, но постоянно нод выдаёт сообщения по заблокированным портам...отправка идёт через svchost через локальгные порты начиная с 1000.

  13. #12
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    вот пример соединения
    Изображения Изображения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Если не ошибаюсь, то что-то тянет апдейты или ещё чего-то делает с MS

    Добавлено через 5 минут

    Код:
    Информация об ip-адресе 65.54.89.139
    
    OrgName: Microsoft Corp
    OrgID: MSFT
    Address: One Microsoft Way
    City: Redmond
    StateProv: WA
    PostalCode: 98052
    Country: US
    Последний раз редактировалось light59; 25.03.2009 в 16:35. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    как прикрыть-то эту лавочку ?

    Добавлено через 4 часа 19 минут

    Может есть какой способ ?
    Последний раз редактировалось Игорь44; 25.03.2009 в 21:07. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('BITS', 4);
    SetServiceStart('wuauserv', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    ОГРОМНОЕ СПАСИБО !!!! А что это было, извините за назойливость, в двух словах...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Происки дяди Билла
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    11
    Вес репутации
    55
    Ещё раз БОЛЬШОЕ СПАСИБО !!!!!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\temp\tempo-109240343.tmp - Trojan-Downloader.Win32.Small.ajsf


  • Уважаемый(ая) Игорь44, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. процесс explorer грузит 50% процессора, большой трафик хоста (заявка №6151)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 12.02.2010, 12:00
    2. Ответов: 4
      Последнее сообщение: 19.01.2010, 03:20
    3. Ответов: 7
      Последнее сообщение: 21.08.2009, 21:58
    4. Через меня идет спам-трафик.
      От Аксель в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 02:02
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 01:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00048 seconds with 20 queries