• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена svchost.exe запрашивает входящие с неизвестных адресов

Статус
В этой теме нельзя размещать новые ответы.

Beatris

Активный пользователь
Сообщения
4
Реакции
0
Баллы
231
svchost.exe (С:\WINDOWS\system32\svchost.exe) периодически, примерно раз в сутки, запрашивает входящее соединение с неизвестными удалёнными адресами. Например, «Удалённый адрес: t140.1paket.com, UPD: 123».

MBAM обнаружила одно изменение в реестре:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel
 

Вложения

  • CollectionLog-2014.03.15-17.21.zip
    108.8 KB · Просмотры: 3

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
1. Этот прокси сервер сами прописывали?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 116.228.55.217:8003

2. Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

3. Покажите старый отчет MBAM.
 

akok

Команда форума
Администратор
Сообщения
19,835
Реакции
13,589
Баллы
2,203
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt запустите, нажмите Clean up
 
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,001
Реакции
6,181
Баллы
1,008

Beatris

Активный пользователь
Сообщения
4
Реакции
0
Баллы
231
Лишнее удалено. Сетевой экран один — в dr.web брандмауэр не установлен.

Почему-то не удаётся получить ссылку на отчёт GetSystemInfo: после уведомления, что файл успешно загружен, появляется эта ссылка

http://www.getsysteminfo.com/read.php?file=bd2e07a57241120e7741f34ab6b95cc5


но она не открывает страницу с отчётом. Я прикреплю файл с отчётом GSI к сообщению.
 

Вложения

  • GetSystemInfo_PC_1_2014_03_15_22_49_48.zip
    622.7 KB · Просмотры: 0

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Удалите через установка и удаление программ (программы и компоненты):

Код:
Outpost Firewall Pro 9.0

ESET Smart Security удалили?
 

Beatris

Активный пользователь
Сообщения
4
Реакции
0
Баллы
231
Можно я отправлю на анализ вызывающий подозрение системный файл С\:windows\system32\msgsvc.dll ?

Если он окажется чистым и в логах тоже всё чисто, то тему можно закрывать.
 

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Подозрительные файлы можно проверить при помощи этого https://www.virustotal.com/ru сервиса.

Вирусов по логам не видно.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу