Показано с 1 по 14 из 14.

svchost.exe открывает СОТНИ соединений (заявка № 44216)

  1. #1
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55

    Thumbs up svchost.exe открывает СОТНИ соединений

    svchost.exe открывает СОТНИ соединений на незнакомые сайты )))
    Помогает блокировка фаерволом процесса services.exe (естественно блокировка процесса svchost не желательна по причинам надобности локальной сети и интернета).
    Проверял на вирусы при помощи AVG8.5 free и kaspersky removal tool 7.0 (вирусная база от 20.04.2009).
    Касперский нашел Win32.mufanom.p и win32.inject.sph. Проблема не пропала.

    Спасибо всем кто сможит что посоветовать
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('RRRZNVVF');
     QuarantineFile('C:\WINDOWS\system32\drivers\RRRZNVVF.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\RRRZNVVF.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55
    выполнил скрипт, отослал карантин согласно приложению 3, прикрепояю новые логи

    p.s. после выполнения скрипта блокировка фаерволом процесса services.exe уже не помогает ;(. svchost самостоятельно отрывает большое кол-во соединений
    Вложения Вложения
    Последний раз редактировалось plug; 21.04.2009 в 09:48.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Сделайте лог gmer: http://virusinfo.info/showthread.php?t=40118
    При выполнении лога отключите антивирус и файрвол.

  6. #5
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55
    Отправляю запрошенный лог файл от Gmer.
    p.s. люди добрые помогите кто чем может, компьютер сильно сильно болен
    Вложения Вложения
    • Тип файла: log gmer.log (56.9 Кб, 3 просмотров)

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\drivers\ndis.sys - пришлите согласно приложения 2 правил

  8. #7
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55
    отправил C:\WINDOWS\system32\drivers\ndis.sys согласно приложению 2.
    Как только я его выгрузил из памяти - AVG сразу нашел там троян Rootkit-Agent.DI.
    Подскажите как вылечить этот файл - он же нужен для нормальной работы сетевых сервисов... Похоже дело именно в нём.
    p.s. а правда ли что почти все (если не все) антивирусы не могут проверить/вылечить файлы, которые УЖЕ загружены как драйверы?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    файл нужо заменить на чистый из консоли восстановления и ли загрузившист с CD

  10. #9
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55
    Ага, спасибо.

    Нашел на дружественном сайте:
    Вариант 1.
    1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
    2. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
    3. В командной строке введите sfc /scannow и нажмите "ENTER".
    Windows будет проверять целостность системных файлов, понадобится диск с дистрибутивом.

    Вариант 2.
    1. Загрузиться с LiveCD (там этот файл не сможет маскироваться).
    2. Перезаписать нормальным файлом.


    Всем большое спасибо

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    sfc /scannow поможет если у вас дистрибутив с сп3 ...

  12. #11
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55
    есть )
    тока постоянно пишет "Files that are requires for Windows to run properly must be copied to the DLL Cashe."
    варинты: Retry , More Information , Cansel
    нажимаю Retry - виндовс дальше запускает проверку и через какое то вемя выдает опять тоже.
    Мне поможет постоянное нажатие Retry или надо загрузиться с диска и там запустить консоль восстановления?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в DLL Cashe у вас тоже файл подменен ... лучший вариант с CD

  14. #13
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    7
    Вес репутации
    55
    ещё раз благодарствую

    Добавлено через 9 часов 45 минут

    заменил
    C:\WINDOWS\system32\drivers\ndis.sys
    на оригинальный - пока всё норм )
    Последний раз редактировалось plug; 22.04.2009 в 20:18. Причина: Добавлено

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )


  • Уважаемый(ая) plug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 16.09.2010, 14:34
    2. Сотни соединений с POP3 сервером
      От lamo4ok в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.10.2009, 12:40
    3. Ответов: 8
      Последнее сообщение: 03.04.2009, 12:12
    4. Ответов: 12
      Последнее сообщение: 13.02.2009, 14:12
    5. Ответов: 1
      Последнее сообщение: 16.06.2008, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01180 seconds with 18 queries