[Ser6720]

Ещё раз поподробнее скажите как называется этот гадкий файл и где он лежит, у меня таже проблема.
И как его убить.

P.S.
Обнаружил C\Windows\Prefetch\svchost.exe.-3530F672- 42кб - это он?
Это троян, червь?

[APOSTOL]

Я-ж сказал, качни программу типа AnVir Task Manager, запусти - там видно всё - кто, что, почём, зачем, откуда запущен и сколько жрёть. Ну и где сёрет, соответственно.

Если одновременно запущено более одной программы (сервиса) одинакового названия из разных мест - уже нужно думать. А можно и не думать, а нажимать красный крест и следовать указаниям. Настоящие системные файлы винда один фиг восстановит, когда (если ) перезагрузится.

[Grub]

У меня ничо не показывает Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?

[Grub]

я про AnVir Task Manager говорил:

Цитата:

У меня ничо не показывает Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера. А все равно долбится что-то.... Что дальше-то смотреть?

ТАК ЧТО ДЕЛАТЬ ТО ЕЩЕ??? Бить все свхосты подряд? Так там один есть который потом всю систему отрубает(если не ошибаюсь)....

[APOSTOL]

Цитата:

Все svchost'ы запущены из систем 32, все подписаны майкрософтом. все одинакового размера.

Значит со стороны svchost всё в порядке (их там по пять штук бывает в разные моменты работы системы), а в И-нет ломится совсем другое. И вообще, я так понял что это к тебе ломится сервер. Он же ломится за каким-то хреном. Либо это троян с сервера пытается связаться со своей базой, либо это наоборот база с сервера пытается опросить твой троян, которого ты уже убил, а связаться с трупом запрещаешь файером.

[Ser6720]

APOSTOL





Если можешь, посмотри пожалуйста как спец, всё ли в порядке, я плохо в этом понимаю.
Если качество плохое, то здесь тоже самое в архиве RAR.
Спасибо.

[APOSTOL]

Не хрен я и спец, тем более что это ХР.

С точки зрения svchost - вроде всё в порядке. Но не исключено, что троян ими просто пользуется.

Скажем, что бы стал делать я:
- Первым же движением убил бы Касперского (вместе с его сервисом), может это он и ломится.
- Затем нужно дождаться, пока что-нибудь будет ломиться в И-нет (смотреть за файером).
- Запрещать однократно, и выключать по одной программы, смотреть дальше.
- Выключать (судя по списку):

Код:

1. alg.exe           C:\WINDOWS\system32\alg.exe
2. anvir.exe         D:\Program files\AnVir Task Manager\AnVir.exe
3. boostspeed.exe    C:\Program Files\AusLogics BoostSpeed\boostspeed.exe
4. cdslow.exe        D:\Program Files\Cdslow\cdslow.exe
5. coolsnap.exe      D:\Program files\CoolSnap\Cool Snap\CoolSnap.exe
6. csrss.exe         C:\WINDOWS\system32\csrss.exe
7. ctfmon.exe        C:\WINDOWS\system32\ctfmon.exe
8. explorer.exe      C:\WINDOWS\explorer.exe
9. hddlifepro.exe    D:\Program files\HDDlife\HDDlifePro.exe
10. incdsrv.exe       D:\Program files\Nero\Nero 7\InCD\InCDsrv.exe
11. kav.exe
12. kavsvc.exe
13. lsass.exe         C:\WINDOWS\system32\lsass.exe
14. mdm.exe           C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
15. nvsvc32.exe       C:\WINDOWS\system32\nvsvc32.exe
16. objectdock.exe    D:\Program files\Objectdock\ObjectDock\ObjectDock.exe
17. outpost.exe       D:\Program files\Agnitum\Outpost Firewall\outpost.exe
18. regmanserv.exe    D:\Program files\Advanced Registry Doctor\RegManServ.exe
19. schedul2.exe      C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
20. services.exe      C:\WINDOWS\system32\services.exe
21. smss.exe          C:\WINDOWS\system32\smss.exe
22. spoolsv.exe       C:\WINDOWS\system32\spoolsv.exe
23. svchost.exe       C:\WINDOWS\system32\svchost.exe
24. svchost.exe       C:\WINDOWS\system32\svchost.exe
25. svchost.exe       C:\WINDOWS\system32\svchost.exe
26. svchost.exe       C:\WINDOWS\system32\svchost.exe
27. svchost.exe       C:\WINDOWS\system32\svchost.exe
28. svchost.exe       C:\WINDOWS\system32\svchost.exe
29. system
30. System Idle Process
31. tcpsvcs.exe       C:\WINDOWS\system32\tcpsvcs.exe
32. uphclean.exe      C:\Program Files\UPHClean\uphclean.exe
33. wdfmgr.exe        C:\WINDOWS\system32\wdfmgr.exe
34. winlogon.exe      C:\WINDOWS\system32\winlogon.exe

вначале запущенные из Program files - всякие там CD-крутилки, Шедулеры Акрониковские, Чистилки и Доктора Реестровые, и прочую хлабудень. Что такое ObjectDock - не знаю.
- Ну а уж если всё равно кто-то будет продолжать ломиться наружу - рубить по одному system32-сервисы.

[Greyman]

ser6720
Хм-м-м... Т. е. к тебе тоже стучится сервак?
Входящие идут на определенный процесс, файл которого в полном порядке... Почему же просто не предположить, что это штатная ситуация? Плохо что аутпост не показывает ИД процессов, тогда бы точно можно было узнать, к какой службе стучиться сервак, но при необходимости можно и вычислить... С ложным сробатыванием аутпоста на сканирование портов я сталкивался уже не раз, т. ч. это в порядке вещей. Просто бывает, что штатный сервис пытается установить соединение, но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов... Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.). Щас на память по службам уже не скажу, но можно выбрать наиболее вероятные службы, с которым пытается общатся сервак, а для верности грохать по очереди наиболее вероятные при очередных попытках установить соединение. Т. е. то, что к тебе стучится сервак с т. з. твоей машины, вполне нормально... А вот должен ли стучатся сам сервак, это уже вопрос номер некст... Это может быть как причина установленных настроек, так и работа трояна.
Естьвозможность сравнить логи экрана с сервера на то же время, когда он к тебе долбится? На основании этого, можно судить кто именно конектится, а потом уже думать. Рабочая станция тут не при чем, оэидание входящих это свойство некоторых стандартных сетевых служб...

[Ser6720]

APOSTOL
Greyman

Спасибо, буду думать.
Господа у меня был на днях очень интересный глюк OutPosta и IE и я вел дискуссию вот здесь: http://forum.five.mhost.ru/showthread.php?t=2972.
Я думаю, что это из той же серии, что обсуждается эдесь.
Если кому интересно посмотрите, может что скажете или научите чему-нибудь.
Надеюсь я не нарушаю правил форума.

[Grub]

Цитата:

но из-за того, что оно блокируется ПСЭ, сразу идет попытка установить соединение на другом порту и т.д. Соответственно это аутпост и определяет за атаку сканированием портов...

Я пробовал Разрешить однократно, но потом следует тот же вопрос, но на другой порт. И таким образом я разрешил 3 раза, а потом снова стал блокировать. Политики групповые не менялись, сервак не обновлялся в этот период времени. Так что грешить на службу как-то не хочется.

Цитата:

Мне же кажется, что это просто работа чего-нить, связанного с удаленным управлением (рееста, рабочий стол, политики и т. п.

Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe

У меня сервак на w2k3+sp1. У вас такой же? Рабочая машина ХР+SP2.