Показано с 1 по 12 из 12.

service.ехе постоянно просит исходящее соединение (заявка № 10454)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.06.2007
    Сообщений
    87
    Вес репутации
    42

    Exclamation service.ехе постоянно просит исходящее соединение

    На ПК были трояны, чистил NOD32, Outpost модулем Antispy, AVZ, Cureit от DrWeb. Один из троянов пришлось удалить вручную, т.к. антивирусы не видели, а Outpost повисал - это был Trojan.Win32.Spabot.ai, удалил HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify раздел rpcc.dll

    ПК стал работать стабильнее, до этого был частенько рестарт и трафик большой. НО стоит только мне установить Outpost в режиме обучения, как появляются окна для создания правил service.exe, Приложение служб и контроллеров запрашивает исходящее соединение, Удаленная служба: UDP:12236, Удаленный адрес 88.104.241.106; Удаленная служба ICQ (UDP:4000) Удаленный адрес 24.5.70.209; Удаленная служба: UDP:25846, Удаленный адрес 69.6.162.104; Удаленная служба: UDP:26412, Удаленный адрес 24.37.75.9; Удаленная служба: UDP:4020, Удаленный адрес 65.24.76.254; Удаленная служба: UDP:28102, Удаленный адрес 24.45.163.71; и так до бесконечности.

    В Filemon идут ссылки на файл windev-peers.ini
    896 9:06:01 SERVICES.EXE:676 SET INFORMATION C:\WINDOWS\SYSTEM32\windev-peers.ini SUCCESS Length: 80
    897 9:06:01 WINLOGON.EXE:628 DIRECTORY C:\WINDOWS\System32 SUCCESS Change Notify
    898 9:06:01 SERVICES.EXE:676 UNLOCK C:\WINDOWS\SYSTEM32\windev-peers.ini RANGE NOT LOCKED Offset: 0 Length: -1
    и т.д. очень много аналогичных записей

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     BC_QrSvc('poof');
     BC_QrFile('C:\WINDOWS\system32\poof.*');
     BC_QrFile('C:\WINDOWS\SYSTEM32\windev-5060-33f2.sys');
     BC_QrFile('\SystemRoot\System32\Drivers\wmibios.sys');
     BC_QrFile('\SystemRoot\System32\Drivers\wmiinfo.sys');
     BC_QrFile('C:\WINDOWS\system32\LightFrame3IECOM.dll');
     BC_QrFile('C:\DOCUME~1\1\LOCALS~1\Temp\JKHMFBA.exe');
     BC_DeleteSvc('poof');
     BC_DeleteFile('C:\WINDOWS\system32\poof.*');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\windev-5060-33f2.sys');
     BC_DeleteFile('C:\WINDOWS\system32\koos.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O21 - SSODL: SysRun - {D5FFE783-5276-41D1-887B-00267810A9C7} - (no file)
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.06.2007
    Сообщений
    87
    Вес репутации
    42
    "Пофиксите" в HijackThis
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
    насколько понимаю эта служба - кряк винды, чтобы она не просила активацию, если я её "пофиксю" у меня винда активацию попросит?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    насколько понимаю эта служба - кряк винды
    На SP2 все равно не работает

  6. #5
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.06.2007
    Сообщений
    87
    Вес репутации
    42
    В карантине пусто , сейчас формирую логи, пришлю

  7. #6
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.06.2007
    Сообщений
    87
    Вес репутации
    42
    На SP2 все равно не работает
    - надо же, знал бы давно снёс эту нечисть, спасибо что просветили

  8. #7
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.06.2007
    Сообщений
    87
    Вес репутации
    42
    Цитата Сообщение от Looking Посмотреть сообщение
    - надо же, знал бы давно снёс эту нечисть, спасибо что просветили
    мне придётся от ПК уйти, утром часов в 6 обязательно снова буду в ветке и выполню все дальнейшие инструкции, заранее спасибо

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrame3IECOM.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    даже если не шпионы, то всё равно замедляют ваш браузер - я бы снёс

  10. #9
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.06.2007
    Сообщений
    87
    Вес репутации
    42
    O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrame3IECOM.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    даже если не шпионы, то всё равно замедляют ваш браузер - я бы снёс
    снёс, спасибо за подсказку

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    O23 - Service: JKHMFBA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\1\LOCALS~1\Temp\JKHMFBA.exe
    - а что это такое? Просветите, плс.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от PavelA Посмотреть сообщение
    Просветите, плс.
    См. тут: http://www.securitylab.ru/forum/read...D=18&TID=42812

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    @Rene-gad Danke-shen.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Looking, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost.exe исходящее соединение
      От Gotfrid в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.06.2011, 20:53
    2. Ответов: 5
      Последнее сообщение: 05.04.2010, 02:26
    3. Ответов: 9
      Последнее сообщение: 04.10.2009, 12:22
    4. Ответов: 12
      Последнее сообщение: 07.09.2009, 12:24
    5. Приложение запрашивает исходящее соединение
      От KMFDM в разделе Межсетевые экраны (firewall)
      Ответов: 7
      Последнее сообщение: 27.12.2004, 00:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00389 seconds with 16 queries