Решена *.*.*:ms-wbt-server SYN_SENT *

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Wazza, 27 авг 2011.

Статус темы:
Закрыта.
  1. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Буду краток долго грузятся страницы , иногда вобьще не загружаются, вот кусок netstat -o
    Код (Text):
    TCP    192.168.1.2:50962      122.228.207.68:http    SYN_SENT        1024
      TCP    192.168.1.2:50963      122.228.207.68:http    SYN_SENT        1024
      TCP    192.168.1.2:50964      122.228.207.68:http    SYN_SENT        1024
      TCP    192.168.1.2:50965      aurora:ms-wbt-server   SYN_SENT        1024
      TCP    192.168.1.2:50966      36.31.200.88:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50967      119.71.45.177:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50968      118.177.180.161:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50969      118.24.8.48:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50970      153.197.239.166:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50971      KD124208195130:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50972      115.221.149.29:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50973      54.112.64.224:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50974      8.62.79.141:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50975      73.108.5.153:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50976      160.151.171.187:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50977      160.151.171.187:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50979      196.184.206.167:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:50981      25.209.234.176:ms-wbt-server  SYN_SENT        1024
    Если обрубить инет , видим это :
    Код (Text):
      TCP    192.168.1.2:49762      192.168.2.33:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49763      192.168.2.34:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49765      192.168.2.36:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49767      192.168.2.38:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49769      192.168.2.40:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49770      192.168.2.41:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49779      192.168.2.50:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49780      192.168.2.51:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49781      192.168.2.52:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49783      192.168.2.54:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49784      192.168.2.55:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49785      192.168.2.56:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49786      192.168.2.57:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49787      192.168.2.58:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49788      192.168.2.59:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49789      192.168.2.60:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49790      192.168.2.61:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49791      192.168.2.62:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49792      192.168.2.67:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49793      192.168.2.68:ms-wbt-server  SYN_SENT        1024
      TCP    192.168.1.2:49794      192.168.2.69:ms-wbt-server  SYN_SENT        1024
    По pid видно ,что инициатор этого всего svchost , что лежит в %windir%\system32 и пользуют который все службы из группы netsvcs ,
    если завершить процесс , то рассылка пакетов на порт 3389 прекращается .Как побороть ума не приложу , никакие антивири ничего не видят , вот тема 1 в 1 как моя
     

    Вложения:

    • info.txt
      Размер файла:
      19,7 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      39,3 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      15,9 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      16,1 КБ
      Просмотров:
      4
  2. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Скачайте сканер OTL by oldtimer и сохраните файл на вашем рабочем столе.
    Запустите программу сделав двойной щелчок мыши.
    Сделайте настройки программы согласно изображения ниже:

    [​IMG]

    В окно [​IMG] с скопируйте следующую информацию:

    Код (Text):
    :Services
     
    :files
    autorun.inf /alldrives
    autorun.exe /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
     
    :Commands
    [purity]
    [emptytemp]
    [resethosts]
    [clearallrestorepoints]
    [emptyflash]
    [Reboot]
    Нажмите на кнопку [​IMG]
    После завершения проверки, будут созданы два файла - OTL fix log. Этот файл необходимо прикрепить к своему следующему посту в той теме, где вам оказывается помощь.


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
    1 человеку нравится это.
  3. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Готово
     

    Вложения:

  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
  5. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    готово , изменений нет
     

    Вложения:

    • DDS.txt
      Размер файла:
      13,9 КБ
      Просмотров:
      2
    • Attach.txt
      Размер файла:
      4 КБ
      Просмотров:
      1
  6. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    1 человеку нравится это.
  7. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Готово
     

    Вложения:

    • Combofix.txt
      Размер файла:
      13,4 КБ
      Просмотров:
      11
  8. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    походу combofix помог , а чем была вызвана данная сетевая активность ?
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Запакуйте папку C:\Qoobox\ в архив с паролем virus

    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
     
  10. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    Последнее редактирование: 28 авг 2011
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

    Комбо особо ничего не удалил, кроме мусорных файлов, и некоторых настроек в реестре - возможно дело было в них.
     
    2 пользователям это понравилось.
  12. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    + Severnyj

    Насколько я помню, на порту 3389 висит сервис удаленного управления.
    Мs-wbt-server - MS WBT Server (MS: Средство управления удаленным рабочим столом NetMeeting (mnmsrvc), Службы терминалов (TermService)

    Добавлено через 20 минут 27 секунд
    Препоручительный скрипт - на ваше усмотрение..!

    Код (Text):
    begin
    SetServiceStart('TermService', 4);
    SetServiceStart('mnmsrvc', 4);
    RebootWindows(true);
    end.
     
    4 пользователям это понравилось.
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    + icotonev

    Возможное еще и это

    Так что желательно выполнить указанный выше скрипт.
     
    3 пользователям это понравилось.
  14. Wazza
    Оффлайн

    Wazza Активный пользователь

    Сообщения:
    7
    Симпатии:
    0
    А если терминалка нужна ? Кроме как измение порта по умолчанию еще что-то сделать можно ?
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Наверное ждать исправлений Miсrosoft.
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей