Показано с 1 по 19 из 19.

компьютер создает посторонние сетевые подключения (заявка № 72418)

  1. #1
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52

    Thumbs down компьютер создает посторонние сетевые подключения

    Ситуация: стал подвисать комп, после сканирования DrWEBLiveCD удалил три вируса trojan.paked после чего без сетевого кабеля комп загружался нормально, но при подключении к сети создавал новые подключения к разным машинам в том числе и на интернет адреса. При загрузке с сетью висел по несколько минут на этапе загрузки рабочего стола.
    куда копать не пойму

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe 
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\340a00f8.exe,\\?\globalroot\systemroot\system32\vnqB6tU.exe,
    O21 - SSODL: UpdateCheck - {913B01A0-7150-4FAA-AD73-7FB934E326FE} - (no file)
    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\340a00f8.exe','');
     StopService('Seekeen Service');
     DeleteService('Seekeen Service');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Seekeen\seekeen140.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Seekeen\seekeen140.exe');
     DeleteFile('C:\WINDOWS\system32\340a00f8.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('Seekeen Service');
    SetAVZPMStatus(True);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Очистите файл hosts.
    - Закачайте файл ..\avz\quarantine.zip для анализа.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    Спасибо за быстрый ответ! Все выполнил карантин отправлен, логи прикрепил. При сканировании AVZ было сообщение и появляется каждый раз о 11 перехватчиках функций KisTS. загружается быстро, но остается подключение на другой комп по порту 49155 (удаленный порт), и на IP 60.12.117.145 по 443 порту.
    Похоже зараза осталась

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(20);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    Все сделал - нашел руткит, логи прилагаю.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    После работы ComboFix что-либо изменилось?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    нет все по прежнему, создает кучу подключений на любые компы. но уже не подвисает при загрузке рабочего стола

  9. #8
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    в приложении скрин создаваемых подключений, почти все убираются через пару минут
    а также прикладываю скрин AVZ о перехвате функций
    Последний раз редактировалось OTK; 01.03.2010 в 09:54.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Настройки IE сами меняли?
    Код:
    AutoConfigURL = http://Srvtwo:8080/config.script
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    настройки берутся из Трафик инспектора

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    В перехватах ничего необычного. С подключениями по картинке ничего не понял
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    В перехватах ничего необычного.
    а разве это не руткит??

    С подключениями по картинке ничего не понял
    При загрузке пользователя комп начинает стучаться на разные компы в сети и даже в интернет. В автозагрузке нет таких программ и порты динамические 49155 и т.д. и в нет лезет по 80 порту. Все эти соединения пропадают минут через 5.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    cds107.lon9.msecn.net -- Майкрософтовский сервер
    65.55.185.26 -- Майкрософтовский сервер
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    Уважаемые господа эксперты посмотрите еще пожалуйста логи.

    утром Авира отловила пару файлов c:\temp.exe и во временных файлах интернет и комп не смог запустить интернет эксплорер (хотя вчера весь день работал нормально) критическая ошибка приложения и все. интернет эксплорер не удаляется (через удаление компонентов Виндовс не хватает файлов zClientm.exe) и не устанавливается (типа уже есть более высокой версии .

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Поймали зверя.
    Профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c350cf00.exe,\\?\globalroot\systemroot\system32\jby3hZ4.exe,
    Добавлено через 3 минуты

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\jby3hZ4.exe','');
     QuarantineFile('C:\WINDOWS\system32\c350cf00.exe','');
     DeleteFile('C:\WINDOWS\system32\c350cf00.exe');
     DeleteFile('C:\WINDOWS\system32\jby3hZ4.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи.
    Последний раз редактировалось PavelA; 03.03.2010 в 13:35. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    Это рецедив старого или все таки новый пролез??

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Новый.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    г. Елатьма
    Сообщений
    10
    Вес репутации
    52
    тему можно закрывать. После всего не запустился ни один антивирусник - уходил в полный завис. вылечилось переустановкой системы

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) OTK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Svchost создает непонятные подключения
      От Deniz_S в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.12.2011, 06:18
    2. NOD блокирует сетевые подключения
      От slonopot в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.03.2010, 21:52
    3. Пропали Сетевые подключения.
      От Renni в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.05.2008, 15:20
    4. Исчзли сетевые подключения
      От Headless в разделе Windows для опытных пользователей
      Ответов: 9
      Последнее сообщение: 03.02.2008, 16:55
    5. Исчзли сетевые подключения
      От Headless в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 17.01.2008, 11:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00993 seconds with 19 queries