Показано с 1 по 18 из 18.

svchost лезет наружу на 3389 на кучу серверов (заявка № 107956)

  1. #1
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37

    svchost лезет наружу на 3389 на кучу серверов

    Добрый день , помогите побороть заразу . Cureit , Kaspersky ничего не находят , avz тоже .Суть проблемы - очень медленно загружаются страницы , глянул netstat -o - увидел легальный svchost , который долбится на кучу серверов , порт 3389 например
    Код:
     host217-44-32-209:ms-wbt-server  SYN_SENT        1020
    PID 1020 - это svchost , запущен от группы netsvcs . Если отрубаю интернет , то svchost начинает ломиться в локальную сеть , правда не так активно .Если заглушить процесс по PID , то все становиться нормально .

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Wazza, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте!
    Пожалуйста, сделайте логи по правилам.

  5. #4
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    Вложения забыл ...
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Ничего подозрительного.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
    O13 - Gopher Prefix:
    Сделайте повторный лог HijackThis.

  7. #6
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    Вы netstat смотрели ? Это не подозрительно ? А секция "Порты TCP/UDP" в логе avz тоже на подозрения не наводит ? Может еще какой лог сделать ?

  8. #7
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    лог gmer и повотрный hjt
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Я не увидел в логе AVZ ничего, что могло бы быть зловредным.
    Для спокойствия души:
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('c:\windows\system32\svchost.exe','');
    BC_ImportQuarantineList;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте лог MBAM.

  10. #9
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    tcpview.jpgПока делается лог mbam , открыл tcpview и сделал принт скрин , как Вы считаете чем может быть вызвана данная сетевая активность ?

  11. #10
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    Карантин пустой , что делать с сетевой активностью svchost ума не приложу ...
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Ничего подозрительного.
    Цитата Сообщение от Wazza Посмотреть сообщение
    что делать с сетевой активностью svchost ума не приложу
    Перед тем, когда начались проблемы, какие-нибудь программы не устанавливали?

  13. #12
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    Пропатчил termsrv.dll для создания сервера терминалов , но эту операцию проводил не один десяток раз , подскажите , в какую сторону копать ?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от Wazza Посмотреть сообщение
    Пропатчил termsrv.dll для создания сервера терминалов
    Какой программой патчили? Если программа сохранилась, запакуйте её в архив с паролем virus. Архив закачайте через красную ссылку "Прислать запрошенный карантин" наверху темы.

  15. #14
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    Результат загрузки
    Файл сохранён как 110827_110914_UniversalTermsrvPatch_20090425_4e58d 05a5bc0c.zip
    Размер файла 134459
    MD5 929023f990ce648c648920f03c62cb01
    Файл закачан, спасибо!
    P.S. termsrv.dll поменял обратнона оригинальную , результата это не дало

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Попробуйте выйти из всех приложений и понаблюдайте за резальтатами.

  17. #16
    Junior Member Репутация
    Регистрация
    27.05.2008
    Сообщений
    213
    Вес репутации
    37
    вышел из всех приложений , остановил все службы кроме 2-х , запущенных под этим svchost , толку ноль , как ломился так и ломится наружу , отключаешь инет - начинает шарить по локалке , перебирая адреса на 3389 порт вот кусок из netstat
    Код:
    TCP    192.168.1.2:49742      192.168.2.13:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49744      192.168.2.14:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49746      192.168.2.17:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49749      192.168.2.20:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49751      192.168.2.22:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49752      192.168.2.23:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49755      192.168.2.25:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49756      192.168.2.27:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49757      192.168.2.28:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49761      192.168.2.30:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49762      192.168.2.33:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49763      192.168.2.34:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49765      192.168.2.36:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49767      192.168.2.38:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49769      192.168.2.40:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49770      192.168.2.41:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49779      192.168.2.50:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49780      192.168.2.51:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49781      192.168.2.52:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49783      192.168.2.54:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49784      192.168.2.55:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49785      192.168.2.56:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49786      192.168.2.57:ms-wbt-server  SYN_SENT        1024
    Добавлено через 2 часа 18 минут

    неужели на этом этапе кроме как опустить руки и написать format c: больше нет вариантов?

    Добавлено через 3 часа 10 минут

    Спасибо за внимание к моей проблеме , решение найдено , активность svchost устранена .
    Последний раз редактировалось Wazza; 28.08.2011 в 00:00. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Wazza Посмотреть сообщение
    решение найдено
    Поделитесь?
    I am not young enough to know everything...

  19. Это понравилось:


  20. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Wazza, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost.exe постоянно лезет в инет
      От Mishgun в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.12.2009, 21:39
    2. svchost лезет в интернет
      От chegermek в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 09.09.2009, 11:17
    3. svchost периодически лезет на 92.122.ХХХ.ХХ
      От Gladman в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.05.2009, 20:18
    4. windows\svchost.exe лезет на 123 порт
      От JohnDoe в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 09:16
    5. svchost.exe постоянно лезет в интернет.
      От igor2999 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00346 seconds with 17 queries