none
Процесс tcpsvcs.exe грузит внешнюю сеть на 100% RRS feed

  • Вопрос

  • Добрый день

    Имеем сервер 2008 стандарт.

    На нем работают сервисы файловый сервер и веб-сервер.

    Стоит Касперский Endpoint. Все обновления ставятся вовремя.

    Второй день замечаю через диспетчер задач, процесс tcpsvcs.exe грузит внешюю сетевую на 100%. Если остановить службу Простые службы TCP/IP (Simple TCP/IP Services), то этот процесс тоже исчезает, и все нормально работает.

    Проверил на вирусы касперским, др.вебом, ничего не нашел.

    спасибо.

    24 сентября 2012 г. 8:59

Ответы

  • С virusinfo нашли winstart.bat, его я удалил. Правда батник пустой был.

    И еще проверил программой Malwarebytes Anti-Malware, нашла остатки webalta в реестре, подправил.

    Четвертые сутки работает нормально. Сеть не грузит, логов связанных с процессом tcpsvcs и передачей пакетов по 19 и 80 порту, не видно.

    Спасибо всем.

    • Помечено в качестве ответа vitoplanet 5 октября 2012 г. 4:20
    5 октября 2012 г. 4:20

Все ответы

  • Логи? Периодика есть?

    Можно попробовать IPv6 отключить, как вариант.

    24 сентября 2012 г. 16:46
    Отвечающий
  • Ipv6 сразу отключил.

    Периодика постоянно, как только к интернету подключаю. Заблокировал  tcpsvcs.exe на сетевом экране. Все нормально становиться.

    Логи смотрел, сначала идет запрос на мой сервер, потом идет отсыл пакетов по 19 порту, ip-адреса разные.  Закрыл порт 19 , все равно грузит сеть, похоже еще по некоторым портам идет. Похоже что-то сидит все же в системе.

    25 сентября 2012 г. 3:59
  • AVZ сообщает о рутките в ntdll.dll, но потом сразу зависает, и нейтролизовать не успевает.
    25 сентября 2012 г. 6:33
  • Берите Live Cd касперского, либо Drweb, и лечитесь. Это в первую очередь нужно было проделать.

    25 сентября 2012 г. 6:38
    Отвечающий
  • они не видят, уже и тем и тем пробовал. и AVZ только из под самого сервера сообщает. Под Live CD тоже не видит.
    25 сентября 2012 г. 6:47
  • Поведение очень похоже на вирусную активность. Вы десяткой обновленной пробовали?

    25 сентября 2012 г. 6:50
    Отвечающий
  • Пробовал Kaspersky Vurus Removal Tool и drWeb, из под Сервера и из под AlkidSE, не видят ничего.
    25 сентября 2012 г. 7:15
  • Берите Rescue Disk, ссылку я привел. Обновляйте базы, проверяйтесь.

    25 сентября 2012 г. 7:22
    Отвечающий
  • Rescue Disk тоже ничего не нашел
    26 сентября 2012 г. 4:44
  • А отправить подозрительный файл на анализ вы не пробовали? Live CD веба тоже попробуйте....

    26 сентября 2012 г. 5:02
    Отвечающий
  • AVZ сообщает:

    Функция ntdll.dll: _fltused (1750) перехвачена, метод Code Hijack (метод не определен).

    Код руткита _fltused нейтрализван.

    После этого AVZ зависает. Запускаю заново проверку, и всё повторяется тоже самое.

    26 сентября 2012 г. 5:20
  • NTDLL.dll здесь не причем. AVZ зависает на х64 при некоторых режимах проверки.

    Написал касперскому, дрвебу и на вирусинфо. Антивирусы с новыми базами так ничего и не видят.

    27 сентября 2012 г. 11:20
  • vitoplanet, есть ли новость? Зараза или в чем-то еще дело?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    1 октября 2012 г. 12:49
  • Да. Поиском, возможно заразы, занимаются Касперский и virusinfo.

    Отправил им дополнительные логи с других программ. Жду ответ.

    2 октября 2012 г. 3:37
  • С virusinfo нашли winstart.bat, его я удалил. Правда батник пустой был.

    И еще проверил программой Malwarebytes Anti-Malware, нашла остатки webalta в реестре, подправил.

    Четвертые сутки работает нормально. Сеть не грузит, логов связанных с процессом tcpsvcs и передачей пакетов по 19 и 80 порту, не видно.

    Спасибо всем.

    • Помечено в качестве ответа vitoplanet 5 октября 2012 г. 4:20
    5 октября 2012 г. 4:20