svchost лезет наружу на 3389 на кучу серверов

[Wazza]

Добрый день , помогите побороть заразу . Cureit , Kaspersky ничего не находят , avz тоже .Суть проблемы - очень медленно загружаются страницы , глянул netstat -o - увидел легальный svchost , который долбится на кучу серверов , порт 3389 например

Код:

 host217-44-32-209:ms-wbt-server  SYN_SENT        1020

PID 1020 - это svchost , запущен от группы netsvcs . Если отрубаю интернет , то svchost начинает ломиться в локальную сеть , правда не так активно .Если заглушить процесс по PID , то все становиться нормально .

[Info_bot]

Уважаемый(ая) Wazza, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Acidorum]

Здравствуйте!
Пожалуйста, сделайте логи по правилам.

[Wazza]

Вложения забыл ...

[Acidorum]

Ничего подозрительного.
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O13 - Gopher Prefix:

Сделайте повторный лог HijackThis.

[Wazza]

Вы netstat смотрели ? Это не подозрительно ? А секция "Порты TCP/UDP" в логе avz тоже на подозрения не наводит ? Может еще какой лог сделать ?

[Wazza]

лог gmer и повотрный hjt

[Acidorum]

Я не увидел в логе AVZ ничего, что могло бы быть зловредным.
Для спокойствия души:
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe','');
BC_ImportQuarantineList;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте лог MBAM.

[Wazza]

tcpview.jpgПока делается лог mbam , открыл tcpview и сделал принт скрин , как Вы считаете чем может быть вызвана данная сетевая активность ?

[Wazza]

Карантин пустой , что делать с сетевой активностью svchost ума не приложу ...

[Acidorum]

Ничего подозрительного.

что делать с сетевой активностью svchost ума не приложу

Перед тем, когда начались проблемы, какие-нибудь программы не устанавливали?

[Wazza]

Пропатчил termsrv.dll для создания сервера терминалов , но эту операцию проводил не один десяток раз , подскажите , в какую сторону копать ?

[Acidorum]

Пропатчил termsrv.dll для создания сервера терминалов

Какой программой патчили? Если программа сохранилась, запакуйте её в архив с паролем virus. Архив закачайте через красную ссылку "Прислать запрошенный карантин" наверху темы.

[Wazza]

Результат загрузки
Файл сохранён как 110827_110914_UniversalTermsrvPatch_20090425_4e58d 05a5bc0c.zip
Размер файла 134459
MD5 929023f990ce648c648920f03c62cb01
Файл закачан, спасибо!
P.S. termsrv.dll поменял обратнона оригинальную , результата это не дало

[Acidorum]

Попробуйте выйти из всех приложений и понаблюдайте за резальтатами.

[Wazza]

вышел из всех приложений , остановил все службы кроме 2-х , запущенных под этим svchost , толку ноль , как ломился так и ломится наружу , отключаешь инет - начинает шарить по локалке , перебирая адреса на 3389 порт вот кусок из netstat

Код:

TCP    192.168.1.2:49742      192.168.2.13:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49744      192.168.2.14:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49746      192.168.2.17:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49749      192.168.2.20:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49751      192.168.2.22:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49752      192.168.2.23:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49755      192.168.2.25:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49756      192.168.2.27:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49757      192.168.2.28:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49761      192.168.2.30:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49762      192.168.2.33:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49763      192.168.2.34:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49765      192.168.2.36:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49767      192.168.2.38:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49769      192.168.2.40:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49770      192.168.2.41:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49779      192.168.2.50:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49780      192.168.2.51:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49781      192.168.2.52:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49783      192.168.2.54:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49784      192.168.2.55:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49785      192.168.2.56:ms-wbt-server  SYN_SENT        1024
  TCP    192.168.1.2:49786      192.168.2.57:ms-wbt-server  SYN_SENT        1024

Добавлено через 2 часа 18 минут

неужели на этом этапе кроме как опустить руки и написать format c: больше нет вариантов?

Добавлено через 3 часа 10 минут

Спасибо за внимание к моей проблеме , решение найдено , активность svchost устранена .

[Bratez]

решение найдено

Поделитесь?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения вредоносные программы в карантинах не обнаружены