Показано с 1 по 19 из 19.

svchost генерирует исходящий траффик (заявка № 29362)

  1. #1
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34

    Exclamation svchost генерирует исходящий траффик

    обнаружилось, что процесс svchost.exe генерирует исходящий траффик, из-за чего доступ в интернет блокируется. ничего кроме днс серверов и ip гпрс модема не пингуется. причем показывает
    C:\>ipconfig /all
    qwe - PPP адаптер:
    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Физический адрес. . . . . . . . . : 00-00-00-00
    Dhcp включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : 10.203.56.171
    Маска подсети . . . . . . . . . . : 255.255.255.255
    Основной шлюз . . . . . . . . . . : 10.203.56.171
    DNS-серверы . . . . . . . . . . . : 83.149.49.238
    83.149.49.234
    C:\>netstat -a
    Активные подключения
    Имя Локальный адрес Внешний адрес Состояние
    TCP home:epmap home:0 LISTENING
    TCP home:microsoft-ds home:0 LISTENING
    TCP home:3260 home:0 LISTENING
    TCP home:3261 home:0 LISTENING
    TCP home:netbios-ssn home:0 LISTENING
    UDP home:microsoft-ds *:*
    UDP home:1026 *:*
    UDP home:ntp *:*
    UDP home:netbios-ns *:*
    UDP home:netbios-dgm *:*
    UDP home:ntp *:*
    а вот в сетевом окружении - свойствах - показывает только IP-адрес . . . . . . . . . . . . : 10.203.56.171 и уже другой шлюз 192.168.100.101...

    если процесс svchost.exe "убить" - то он снова появляется уже с другим ID и снова весь исходящий траффик только отнего...

    проверка Др.Веб , АВЗ, НОД32, КИС 7.0 - вирусов не обнаруживает. Ad-Aware тоже ничего не находит...
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 01.09.2008 в 10:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
    - Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
    - Не выключено системное восстановление.
    - Не закрыты все программы
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    То, что svchost.exe появляется с другим PID - это номально.
    Руткитов в логах не нашел.
    Выполните пункт 2 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    вот новые сканы.
    прошу прощения, что не от 5-го сентября.
    и-нет так и не работает, приходится бегать по соседям... да не у всех и-нет есть...
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Не выключено системное восстановление.
    Выполните пункт 2 правил.
    странно, кстати. восстановление отключено и через реестр, и остановлена служба и снята галочка...

    проверка CureIT от 02.09.2008 ничего не выявила. проверялось 6 часов...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от terrybrn Посмотреть сообщение
    проверялось 6 часов...
    Это круто. Вы мусор поубирали?
    В логах ничего плохого не видно.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\mstud-2int.cpl','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Mod32dgkmrct.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\FARBCopy.sys','');
     QuarantineFile('Mod32dgkmrct.sys','');
     QuarantineFile('FARBCopy.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\WudfPf.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\SCNDRVP.SYS','');
    BC_ImportQuarantineList;
    BC_QrSvc('Mod32dgkmrct');
    BC_QrSvc('FARBCopy');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    FAR Background Copy Service - это Вам знакомо? FAR установлен?

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=29362 ).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от kps Посмотреть сообщение
    FAR Background Copy Service - это Вам знакомо? FAR установлен?
    хм... фар не установлен... НО служба действительно есть...
    причем вот что показывает...
    Изображения Изображения
    • Тип файла: jpg farbc.JPG (21.7 Кб, 14 просмотров)
    Последний раз редактировалось Rene-gad; 06.09.2008 в 15:50.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Вы запрошенный карантин прислали?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от kps Посмотреть сообщение
    Вы запрошенный карантин прислали?
    запрошенный карантин прислал по ссылке

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('FARBCopy');
    BC_DeleteSvc('Mod32dgkmrct');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    Как проблема?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от kps Посмотреть сообщение
    Как проблема?
    ХМ... большое спасибо. после выполнения скрипта службы удалилась. svchost.exe перестал "жрать" траффик сеть только не пинговалась... прогнал в AVZ - восстановление системы, выбрал все пункты кроме последнего где (опасно). И-нет заработал !!!

    появились в event некоторые оошибочки...

    Тип события: Ошибка
    Источник события: DCOM
    Категория события: Отсутствует
    Код события: 10005
    Дата: 08.09.2008
    Время: 18:52:05
    Пользователь: HOME\nike
    Компьютер: HOME
    Описание:
    Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы StiSvc с аргументами "" для запуска сервера:
    {A1F4E726-8CF1-11D1-BF92-0060081ED811}

    Тип события: Ошибка
    Источник события: Dhcp
    Категория события: Отсутствует
    Код события: 1002
    Дата: 06.09.2008
    Время: 18:50:51
    Пользователь: Н/Д
    Компьютер: HOME
    Описание:
    Аренда IP-адреса 172.18.8.68 для сетевого адаптера с сетевым адресом 00FFDF140B8A отклонена DHCP-сервером 172.18.8.0 (DHCP-сервер отправил сообщение DHCPNACK).

    и вот еще какой глюк...

    ipconfig выдает
    Raduga - Ethernet адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
    Dhcp включен. . . . . . . . . . . : да
    Автонастройка включена . . . . . : да
    IP-адрес . . . . . . . . . . . . : 172.18.8.68
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз . . . . . . . . . . : 172.18.8.1
    DHCP-сервер . . . . . . . . . . . : 172.18.8.0
    DNS-серверы . . . . . . . . . . . : 217.17.162.2
    213.171.60.20
    Аренда получена . . . . . . . . . : 8 сентября 2008 г. 22:25:09
    Аренда истекает . . . . . . . . . : 8 сентября 2009 г. 22:25:09

    1401 - Ethernet адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : TechnoTrend DVBsat PCI
    Физический адрес. . . . . . . . . : 00-D0-5C-0B-5D-D4
    Dhcp включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : 192.168.238.238
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз . . . . . . . . . . :

    qwe - PPP адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Физический адрес. . . . . . . . . : 00-53-45-00-00-00
    Dhcp включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : 10.203.42.25
    Маска подсети . . . . . . . . . . : 255.255.255.255
    Основной шлюз . . . . . . . . . . :
    DNS-серверы . . . . . . . . . . . : 83.149.49.238
    83.149.49.234
    NetBIOS через TCP/IP. . . . . . . : отключен


    а вот сетевое окружение
    ...в qwe шлюз другой...
    Изображения Изображения
    • Тип файла: jpg qwe.JPG (17.8 Кб, 2 просмотров)

  13. #12
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от kps Посмотреть сообщение
    Сделайте новые логи.
    Как проблема?
    вот новые логи
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    Так какие еще проблемы?

  15. #14
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    -Пофиксите
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    Так какие еще проблемы?
    это вопрос как упрек или интерес ?

    можете ввести в курс дела? по поводу яху тулбар и какой-то екстра батон?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от terrybrn Посмотреть сообщение
    это вопрос как упрек или интерес ?
    Просто kps Вас уже спрашивал, а Вы не ответили

    можете ввести в курс дела? по поводу яху тулбар и какой-то екстра батон?
    Так под записями файлов нет. Зачем они Вам в реестре?

  17. #16
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Просто kps Вас уже спрашивал, а Вы не ответили

    Так под записями файлов нет. Зачем они Вам в реестре?
    а чем страшен этот яху тулбар? почитал на форуме оч.часто его удаляют...

    а по поводу проблемы - я ж выложил лог длинный про DCOM, DHCPNECK и картинку приложил, что шлюз в подключении к интернету через модем 192.168.100.101 а такого интерфейса нет... да и ipconfig выдает другой шлюз... для сотика такойже как ip подключения

  18. #17
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34
    да... не долго мучалась машинка...

    сегодня утром после перезагрузки :
    1) пропал пуск... свернулся в ниточку
    2) тема с winXP поменялась на классическую
    3) ни одна служба не стартует... при попытке запустить комп просто молчит
    4) во время загрузки долго думает поазывая чистый рабочий стол, потом клацкает дисководом 3.5 и запускает winxp
    5) на панели задач неотображается ниодно окно... например открыв мой компьютер на раб.столе он отображается а на панели задач пусто...
    6) поставил проверяться снова CureIT. в обед посмотрю что нашел...

  19. #18
    Junior Member Репутация
    Регистрация
    01.09.2008
    Сообщений
    12
    Вес репутации
    34

    спасибо за помощь. Решено!

    Спасибо ! Основная проблема по svchost решилась !

    а вот что там дальше произошло бог с ним...

    в общем не нашел никаких вирусов...

    полная проверка системы ничего не нашла.

    авз молчит...

    не вытерпел... переустановка ос

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) terrybrn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Комп генерирует исходящий трафик.
      От YuriJJ в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 12.03.2011, 00:35
    2. svchost генерирует исходящий трафик
      От Odhako в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.01.2010, 12:59
    3. svchost.exe генерирует входящий трафик
      От Scotch Fir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.10.2008, 03:08
    4. компьютер генерирует траффик
      От Artur Z. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.08.2008, 19:56
    5. Исходящий траффик
      От Andomiel в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.07.2008, 09:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00819 seconds with 17 queries