Svchost łączy się z 445 (portem)


(Cerberxes) #1

witam

Mam następujący problem:

W niewyjaśnionych okolicznościach wczoraj system zaczął ( a konkretnie svchost.exe ) łączyć się z mojego IP na różnych portach w zakresie od 1000 do 2500 z losowymi konputerami na porcie 445.

Zaraz po włączeniu internet działa (dlatego mogę to napisać) ale po chwili svchost zaczyna się łączyć z 30 komputerami naraz i wszystko pada :confused:

Łączenie to uniemożliwia działanie internetu jak również zajmuje prawie 100% procesora.

Takie działanie ma tylko 1 z procesów svchost.exe jest ich u mnie 5.

Windows Worm Door Cleaner nie pomógł w problemie (zablokowałem porty 135, 445).

W Comodo w logu wyświetla się że ten felerny svchost nasłuchuje ciągle na 8850


(Blady2012) #2

Masz na 100% wirusa,prawdopodobnie jakiegoś trojana.Daj logi z ComboFix i HijackThis.


(Cerberxes) #3

HijackThis:

http://wklej.org/id/21005/ ComboFix tutaj

PS. Zamieszczam jeszcze 2 screeny:

z Windows Worm Door Cleaner http://www.fotosik.pl/pokaz_obrazek/ab74d31fcc43a96f.html na którym widać że "coś" z powrotem przestawiło zablokowane porty na włączone po zrestartowaniu systemu

2 screen to log z Comodo FW http://www.fotosik.pl/pokaz_obrazek/ad87257cc107a679.html na którym widać na jakim porcie nasłuchuje svchost.exe i jego połączenia

po wpisaniu nestat -ano wychodzi że proces ID tego svchost to 908 które to jest w Active Process List w Comodo jak się okazuje nadrzędnym procesem dla wuauclt.exe


(Gutek) #4
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

usuń te wpisy HJT

Start >>> Uruchom >>> cmd wpisać:

SC STOP hpt3xx

SC DELETE hpt3xx


(Cerberxes) #5

Czy mógłbym prosić o wyjaśnienie celu tych poleceń:


(Gutek) #6

Start >>> Uruchom >>> cmd i w okientu wpisz to co napisałem


(Cerberxes) #7

To wiem ale co one robią, jaką usługę zatrzymują itp.?


(Gutek) #8

Której już nie ma HighPoint - http://www.soft32.com/download_173804.html


(Leon$) #9

z loga wynika że jest to pusty wpis

dla tego Gutek to usuwa

od czego to było google wiedzą

:slight_smile:


(Cerberxes) #10

A więc pomoc dotychczas udzielona naprawiła niestety tylko kosmetykę

Problem jaki był w 1 poście taki jest nadal...

Inne pomysły?


(Gutek) #11

Nic nie wskazuje, aby coś u ciebie siedziało w systemie.


(Leon$) #12

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log

:slight_smile:


(Cerberxes) #13

Malwarebyte nic nie wykrył więc pustego logu nie będę wklejał

Dodam, że po wyłączeniu szkodliwego svchost.exe w menedżerze zadań problem się usuwa, szkoda tylko, że po restarcie wszystko od nowa i koło się zamyka...

Pomyślałem, że przyczyną może być jakiś błąd systemu na który została lub nie została jeszcze wydana poprawka, jednak co najmniej dziwne jest to, że proces ten zamiast np. tylko zawieszać kompa skanuje losowo sieć na porcie 445


(Leon$) #14

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:


(Cerberxes) #15

Co prawda jeszcze nie skorzystałem z ostatnio poleconego narzędzia, ale skorzystałem ze skanera online Kaspersky który wykrył mi zawirusowana biblioteke dll kokretnie bjgwon.dll w folderze system32 zawierającą Trojan-Downloader.Win32.Agent.aqfw

A więc może teraz to rzuca trochę światła na sprawę?


(Leon$) #16

pokaż raport Kasperskiego - on sam tego nie usunie

:slight_smile:


(Cerberxes) #17

Choć z rapotu nie wynika więcej niż powiedziałem w swoim poprzednim poście więc nie wiem po co ale cóż...


(Leon$) #18

wynika że skan był

a powinieneś przeskanować Obszar skanowania Mój komputer

po drugie piszesz o jednym pliku są dwa

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

jak chcesz usunąć ten drugi plik

to dopisz do Avangera

log System Repair Engineer

przeskanuj Kasperskim jeszcze raz

:slight_smile: