Показано с 1 по 13 из 13.

svchost устанавливает левое соединение (заявка № 7045)

  1. #1
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64

    Thumbs up svchost устанавливает левое соединение

    В общем сабж, постоянно висит соединение с 61.172.146.94.
    стоит нортон корпоративный 10.1 - ничего не находит
    запускал CureIt - нашла только мою DameWare.
    запускал AVZ, Hijack - подчистил в силу своего разумения.
    проблема осталась. мозги уехали на багамы.
    Вложения Вложения
    Последний раз редактировалось silenser; 08.10.2007 в 12:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    SYN_SENT - это что за состояние? Не может быть DoS-атака?

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Возможно, стоит прислать wuauclt.dll - почему-то она отсутствует в базе безопасных.

    Если окажется, что она не виновата - предлагаю установить Support Tools - инсталл должен быть на том же диске с дистрибутивом Windows, либо его можно скачать с сайта Microsoft. Запустить оттуда bitsadmin.exe /list - он должен показать, что за задание стоит в очереди на закачку.

    pig, это не DoS-атака, в данном случае это попытка установить соединение с несуществующим IP-адресом.

  5. #4
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64
    wuauclt.dll - от wsus, может поэтому ?
    SYN_SENT - действительно, потому-что тачка отключена от интернета.
    пробую bitsadmin.exe
    попробовал, на закачку ничего нет.
    Последний раз редактировалось silenser; 08.12.2006 в 08:57.

  6. #5
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64
    выяснил, что соединение устанавливается на IRC сервер, посылает что-то в бинарном виде и получает приветсвие.
    вот логи при установленоом соединении
    Последний раз редактировалось silenser; 08.10.2007 в 12:36.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Я думаю, что виновата именно wuauclt.dll - во-первых, у меня такого файла нет, есть только wuauclt.exe и wuaueng.dll, во-вторых, wuaueng.dll подгружается тем svchost-ом, который запускается с ключом wugroup, а в твоем случае у svchost-а ключ netsvcs.

    Если хочешь более точно убедиться в этом - сделай экпорт ключа раздела реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] и приложи его к теме.

  8. #7
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64
    точно !
    взгляд замылился
    файл отправил

    Файл сохранён как 061208_083644_virus_45796a6cdca98.zip
    Размер файла 8935
    MD5 5086a9888e249f6a029187f198f40b58


    экспорт реестра прилагаю
    Последний раз редактировалось silenser; 08.10.2007 в 12:36.

  9. #8
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64
    прилагаю ветку реестра откуда грузится wuauclt.dll
    Вложение 4975
    Последний раз редактировалось silenser; 08.10.2007 в 12:36.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Спасибо за ветку - так гораздо легче.
    Я проверил - у меня в этой ветке прописан wuauserv.dll. Можешь смело исправлять руками в реестре и потом перезагружаться.

    Если с исправлением руками будут проблемы (например, троян будет восстанавливать свою запись) - можно попробовать исправить вот таким скриптом из AVZ:
    Код:
    begin
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 
      'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters',
      'ServiceDll',
      'C:\WINDOWS\system32\wuauserv.dll'); 
     RebootWindows(True);
    end.
    После выполнения скрипта компьютер сам перезагрузится.
    Однако я бы рекомендовал не спешить запускать скрипт (потому что у меня опыта написания скриптов пока нету, и я мог сделать ошибку в скрипте), а подождать комментариев других хелперов.

  11. #10
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64
    я просто удалил wuauclt.dll из реестра
    перегрузился и все хорошо.
    спасибо, что сказал про правильную запись.


    осталось узнать, что же это было ?
    Последний раз редактировалось silenser; 11.12.2006 в 13:31. Причина: дописал

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от silenser Посмотреть сообщение
    ...
    осталось узнать, что же это было ?
    Видимо, вот это: wuauclt.dll?
    Последний раз редактировалось aintrust; 11.12.2006 в 14:14.

  13. #12
    Junior Member Репутация
    Регистрация
    24.10.2006
    Сообщений
    20
    Вес репутации
    64
    видимо да.
    что-то совсем плохой стал, даже погуглить забыл....
    там сказано, что веб его знает, но cureit ничего не нашел !
    смешно что symantec о нем тоже знает....

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от silenser Посмотреть сообщение
    что веб его знает, но cureit ничего не нашел !
    Знает только с сегодня, как - BackDoor.IRC.Ohzi

  • Уважаемый(ая) silenser, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. svchost.exe исходящее соединение
      От Gotfrid в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.06.2011, 21:53
    2. svchost.exe часто запрашивает соединение
      От Lobo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.02.2010, 19:11
    3. Ответов: 8
      Последнее сообщение: 27.07.2009, 01:43
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 09:49
    5. подозрение на на вирусы и левое ПО
      От morrock в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00380 seconds with 17 queries