Показано с 1 по 16 из 16.

winlogon больше ста открытых портов (заявка № 5655)

  1. #1
    Into
    Guest

    winlogon больше ста открытых портов

    Сначала заметил что в файерволе постепенно нарастает количество открытых портов. Установил Нортон антивирус проверил он нашел несколько файлов с вирусами, я их всех удалил. В особенности много было файлов в папке восстановления системы. Потом поставил AntiVir он нашел еще файлы, я их тоже удалил. Заметил что порты открываются одним приложением (не помню каким). Когда его отключаешь порты закрываются, но потом оно запускается опять. Я удалил это приложение.

    Потом стало запускаться и открывать порты Run32dll, таже песня. Сейчас Winlogon и Run32dll, но ведь winlogon не закроешь. И при загрузке вылезают окна Файервола разрешить или блокировать приложения. "Запуск DLL как приложения", "Winlogon".

    Вирус был LookMe (точно не помно) и Какой-то Trojan, тоже не помню удалил их всех Нортон.

    А все началось с того, что через минут 10 в интернете невозможно открыть ни одной страницы и что либо закачать.

    Какие есть соображения?
    Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    [QUOTE=Into]Вирус был LookMe (точно не помно) и Какой-то Trojan, тоже не помню удалил их всех Нортон.
    QUOTE]
    Look2Me у Вас живее всех живых - начните лечение с удаления его, это он winlogon грузит.
    пришлите на исследование файлы:
    D:\WINDOWS\system32\pmnnk.dll
    D:\Program Files\ScanSoft\OmniPageSE2.0\ophookSE2.dll

    и на будущее - перед выполнением исследования системы отключайте лишние приложения типа Delphi, reget.

  4. #3
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    AntiVir & Symantec - не самое мудрое решение. Лучше поставьте КАВ6 или дрвеб 4.33... первый предпочтительней.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  5. #4
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    Прислать как написано в правилах вот эти файлы

    d:\program files\ramcleaner\ramcleaner.exe
    D:\WINDOWS\system32\cutemon2k.dll
    D:\WINDOWS\system32\guard.tmp
    D:\WINDOWS\system32\h8l2li3o18.dll
    SystemRoot\System32\Drivers\FTD2XX.sys
    D:\WINDOWS\System32\CNAB4RPK.EXE
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  6. #5
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    >D:\WINDOWS\system32\h8l2li3o18.dll
    Этого после того как отошлете можно удалать - это он открывает кучу портов.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  7. #6
    Into
    Guest
    Цитата Сообщение от Sanja
    >D:\WINDOWS\system32\h8l2li3o18.dll
    Этого после того как отошлете можно удалать - это он открывает кучу портов.
    Так он зараза такая изменяет имя при каждой загрузке. Я не смог его отправить, он не присоединяется ни в какую. Указываю явно путь. НЕТ и Всё. А все остальное вроде отправил.

    Еще открывает порты Run32dll. Этот процесс завершаешь и половину портов закрываются.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Этого, который имя меняет - прибить посредством KAV 6. Или поискать в соседних темах описание ручного избиения.

    Run32dll - процесс точно так называется?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    Из присланного по Drweb:
    D:\WINDOWS\system32\pmnnk.dll - Trojan.Virtumod ( http://virusinfo.info/showthread.php?p=74464#post74464 )
    D:\WINDOWS\system32\guard.tmp - Adware.Look2me
    D:\WINDOWS\system32\krdfc.dll - Adware.Look2me

  10. #9
    Into
    Guest
    Процесс точно называется Rundll32.exe.
    При загрузке Вылезает окно Файервола Запуск DLL библиотеки как приложения, где он спрашивает что делать с приложением ... блокировать, обновить... И всегда новая xxxxx.dll

    Сейчас уже более 500 портов открывается в течении часа...

    ХЕЛЛППП!!!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Into
    Так он зараза такая изменяет имя при каждой загрузке.
    Пролечите систему f-look2me затем CureIt, после повторите 2 последних лога из правил.
    Последний раз редактировалось RiC; 09.06.2006 в 22:00.

  12. #11
    Into
    Guest
    Проверка f-look2me помогла. Порты закрылись.

    А вот проверка Dr.Web Scaner обнаружила в файле pmnnk.dll вирус Trojan.Virtumod. Пишет что будет исцелен после рестарта. Нет не исцеляется. Чем исцелить? Или удалить как?

    Последние два лога правил - это проверка hijackthis и отправка лога вам?
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Into
    Проверка f-look2me помогла. Порты закрылись.
    Угу "Неуловимый джо" -
    O20 - Winlogon Notify: Shell Extensions - D:\WINDOWS\system32\h64m0gh1e64.dll (file missing)
    "помер".

    Цитата Сообщение от Into
    А вот проверка Dr.Web Scaner обнаружила в файле pmnnk.dll вирус Trojan.Virtumod. Пишет что будет исцелен после рестарта. Нет не исцеляется. Чем исцелить? Или удалить как?
    Последний из 2-х логов AVZ и Hijack.

    Поехали дальше -
    1. Cкачайте The Avenger
    2. Распакуйте программу к примеру в каталог C:\Avn
    3. Запустите Avenger.exe и выбирите "Input script manually"
    4. Нажмите на иконку с увеличительным стеклом.
    5. Введите в открывшееся окно текст из рамки ниже -
    Код:
    Files to delete:
    D:\WINDOWS\SYSTEM32\pmnnk.dll
    6. Нажмите на иконку со светофором.
    7. Перезагрузитесь.
    8. После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
    9. Пофиксите с помощью Hijack This -
    Код:
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\pmnnk.dll
    O20 - Winlogon Notify: pmnnk - D:\WINDOWS\SYSTEM32\pmnnk.dll
    O20 - Winlogon Notify: Shell Extensions - D:\WINDOWS\system32\h64m0gh1e64.dll
    O23 - Service: Network Monitor - Unknown owner - D:\Program Files\Network Monitor\netmon.exe (file missing)
    10. Повторите 2 последних лога из правил и добавьте к ним лог Avenger для проверки.
    Последний раз редактировалось RiC; 09.06.2006 в 23:24.

  14. #13
    Into
    Guest
    Вот все как говорилось!
    HijackThis1.log до Fix
    HijackThis.log после Fix и перезагрузки.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Into
    Вот все как говорилось!
    Ага, похоже чисто

  16. #15
    Into
    Guest
    Спасибо всем огромное за помощь! Компьютер заведомо лучше стал работать. Но вот что за Trojan.Virtumod?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Into
    Спасибо всем огромное за помощь! Компьютер заведомо лучше стал работать. Но вот что за Trojan.Virtumod?
    http://securityresponse.symantec.com...jan.vundo.html

  • Уважаемый(ая) Into, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Много открытых TCP портов
      От Crow54 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 18:40
    2. SVCHOST.exe 4000 открытых портов
      От DKG в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 06:27
    3. Куча открытых UDP портов и нечто Backdoor.Lurker
      От Doxer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.11.2008, 12:09
    4. Куча открытых портов. Хелп плиз...
      От Добрый доктор в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.03.2007, 00:44
    5. Ответов: 13
      Последнее сообщение: 10.08.2006, 16:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00518 seconds with 17 queries