Svchost.exe nepovolene pripojeni

[apofis]

No vypada to spise na nejaky botnet. Jiz zminene spojeni se navazuje jen v urcitych casech (spise dopoledne). Den po "utoku" (kdy se na pc pripojil nejaky trojan pres RDP) se cca na 3 hodiny zvysil traffic na SK, dokonce byla v event logu hlaska, ze byl prekrocet pocet soubeznych TCP pripojemi.

Spojeni navazuje svchost.exe. Uz jsem vyzkousel krome formatu a reinstalu snad vse a nic nepomohlo...

[Caroprd111]

Pokračujte podle návodu http://www.viry.cz/forum/viewtopic.php?f=29&t=62878

[apofis]

Gmer bohuzel taky nic

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-08-17 09:36:29
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380215A rev.3.AAC
Running: gmer.exe; Driver: C:\DOCUME~1\ECUSER\LOCALS~1\Temp\pwlcipow.sys


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\WPA@md 0x64 0x62 0x03 0x00 ...

---- EOF - GMER 1.0.15 ----

[Caroprd111]

Já dám ruku do ohně za to, že systém je čistý.

Jak se chová?

[apofis]

Bud je cisty nebo je trojan dobre zamaskovany. Momentane dnes rano i dopoledne zadne spojeni svchost nenavazal. Zajimave, prece se to samo neodstranilo.

[Caroprd111]

Nevěřím tomu, že by tam něco bylo. CF pár položek smazal.


Doporučuji nainstalovat firewall.


Odinstalujte ComboFix přes:
Start >> Spustit, zkopírujte do okénka:

ComboFix /Uninstall

stiskněte Enter



Stáhněte T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Spusťte, pro potvrzení volby mačkejte klávesu A, Enter
• Po použití program vymažte. Pozor, antiviry ho mohou falešně označit za vir.

Stáhněte TFC http://oldtimer.geekstogo.com/TFC.exe

• Spusťte.
• Klikněte na "Start". Potvrďte hlášku kliknutím na "Ok" (Bude následovat restart)

Stáhněte OTC http://oldtimer.geekstogo.com/OTC.exe

• Spusťte.
• Klikněte na "CleanUp!". Potvrďte hlášky kliknutím na "Yes" (Bude následovat restart)

Stáhněte Ccleaner http://viry.cz/forum/viewtopic.php?t=7478
Záložka Čistič

• Dejte analyzovat, po dokončení dejte Spustit Ccleaner.
  
  Záložka Registry
• Klikněte na Hledej problémy, po dokončení klikněte na Opravit problémy, zálohu dělat nemusíte, potom dejte Opravit všechny problémy.

OK Zavřít

[apofis]

Jeste jsem zkousel Gmer na druhem PC se stejnym problemem. V logu je toho vic. Poznate z toho neco?


GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-08-18 10:25:52
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380215A rev.3.AAC
Running: gmer.exe; Driver: C:\DOCUME~1\ECUSER\LOCALS~1\Temp\pwlcipow.sys


---- System - GMER 1.0.15 ----

SSDT 84F27630 ZwAssignProcessToJobObject
SSDT 84F26A60 ZwOpenProcess
SSDT 84F26E80 ZwOpenThread
SSDT 84F27460 ZwSuspendProcess
SSDT 84F27280 ZwSuspendThread
SSDT 84F26C90 ZwTerminateProcess
SSDT 84F270B0 ZwTerminateThread

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[700] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- Threads - GMER 1.0.15 ----

Thread System [4:376] 84F25790

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\WPA@md 0x64 0x62 0x03 0x00 ...

[Caroprd111]

Log z Gmeru je čistý. Na druhý PC si založte nový topic.