svchost ciągle wysyła dane

[sznels]

Witam,

Mam problem gdyż spory ruch sieciowy mam na svchost.exe ciągle coś wysyła...

Zwróciłem uwagę wtedy gdy sprawdziałem speedtestem prędkość połączenia i była strasznie mizerna..

Wstawiam screen:

http://www.bankfotek.pl/view/1331396

LOG:

http://www.wklej.org/id/835319/ OLT

http://www.wklej.org/id/835320/ Extras

[picasso]

sznels, zasady działu: KLIK. Pomoc nadchodzi, gdy osoby są obecne i mają czas przetworzyć temat. Przypominanie w temacie i na PW (mam zresztą napisane w profilu, że nie przyjmuję próśb o pomoc tą drogą) niczego nie przyśpieszy. Bezużyteczny post kasuję. W logach brak oznak infekcji.

 

1. Dla świętego spokoju zrób jeszcze skan przez Kaspersky TDSSKiller. Ponadto na wszelki wypadek sprawdzanie na ZeroAccess, czyli uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
 
:filefind
services.exe
 
:dir
C:\$Recycle.Bin /s

 

Klik w Look.

 

2. W Twoim Dzienniku zdarzeń jest taki błąd:

 

Error - 2012-09-22 15:57:12 | Computer Name = Patryk-Komputer | Source = Service Control Manager | ID = 7024
Description = Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił
 specyficzny dla niej błąd %%-2147023143. 

 

Ten błąd jest charakterystyczny dla usuniętej / uszkodzonej usługi Zapora systemu Windows. Podaj log z Farbar Service Scanner.

 

 

 

 

.

[sznels]

Witam,

Dziękuje za odpowiedz

• Kaspersky czysto
  
• System look : wklejam log: http://www.wklej.org/id/836593/
  
• Faver Service Scanner log : http://www.wklej.org/id/836595/
  

I jeżeli brak u mnie intruza to czy normalne jest by svchost wysyłał tak wielką ilość pakietów ??

Po 24 godzinach wysłał około 800 mb

Po 48 godzinach wysłano prawie 2 Gb

 

 

Results of screen317's Security Check version 0.99.51

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

Outpost Security Suite Pro

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.65.0.1400

JavaFX 2.1.1

Java™ 7 Update 5

Java version out of Date!

Adobe Flash Player 11.4.402.265

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox (15.0)

````````Process Check: objlist.exe by Laurent````````

Malwarebytes' Anti-Malware mbamscheduler.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

[picasso]

sznels, przecież mówiłam o zasadach. Odświeżanie nic nie przyśpieszy (post usunęłam). Ja wiem co mam w dziale, a za temat się biorę, gdy mam czas i mam coś do powiedzenia.

 

Skan SystemLook: null. Skan Farbar: usługa Zapory systemu Windows jest na miejscu, ale nie jest uruchomiona, to pewnie konsekwencja obecności Outpost Security Suite Pro. Ogólnie = moim zdaniem kwalifikacja na dział Windows i temat przesuwam.

 

 

I jeżeli brak u mnie intruza to czy normalne jest by svchost wysyłał tak wielką ilość pakietów ??

Po 24 godzinach wysłał około 800 mb

Po 48 godzinach wysłano prawie 2 Gb

 

Wg pierwszego dostarczonego obrazka chodzi o aktywność usługi SSDP na porcie 1900. Ta (nad)aktywność nie wydaje się związana z infekcją, raczej inwentarz systemowy. Pierwszy z brzegu przykład takiego ruchu sieciowego: KLIK. Jak punktowane, ruch ten zostanie odcięty po wyłączeniu całego protokołu IPv6. MS o tym jak to przeprowadzić: KB929852.

 

 

.

[sznels]

OK próbowałem użyć microsoft fixIT i niestety brak efektów gdyż ciągle ten proces widnieje i generuje ruch sieciowy

[picasso]

Czy po użyciu zresetowałeś system? Czy sprawdziłeś metodę ręczną i potwierdziłeś, że w rejestrze istnieje wartość DisabledComponents i czy jest ona równa 0xffffffff (deaktywacja na wszystkich interfejsach sieciowych)?