(no subject)

[langsamer.livejournal.com]

Подцепил какую-то дрянь :(. Дрянь с регулярностью раз в 10 минут пытается при помощи процесса svchost.exe сходить по 80ому порту последовательно на следующие три адреса: 206.168.0.10, 194.97.51.211, 194.97.51.212 (файрволл отлавливает попытки). Прогнал тесты свежими версиями CureIt (DrWeb), AdAware и HijackThis, ничего не нашел. dll'ки, вызываемые этим самым svchost.exe (смотрел через Sysinternals ProcessExplorer) подозрений не вызывают.
Что делать? Как бороться?

Comments

[vilgeforce.livejournal.com]

ftp://ftp.kaspersky.com/utils/trojans/TrojanFindInfo.rar - запустите и посмотрите что у вас в автозапуске сидит, или вдруг порты открытые есть какие-то левые...

[langsamer.livejournal.com]

Автозапуск проверял соответствующей утилитой Sysinternals, порты - гм, я за NAT'ом сижу, левые порты на нем по умолчанию закрыты.
Но все равно попробую, спасибо

[vilgeforce.livejournal.com]

Sysinternals не юзал. Попробуйте тулзинку, вдруг покажет что. Никакой NAT не запретит открыть на вашей машине порт, который будет ждать пока к нему кто-то подключиться :-) Подключиться да, не даст :-)

Где-то я читал, где прописывается запуск svchost как в вашем случае, но не помню :-( Попробуйте еще включить отображение скрытых файлов и посмотреть в корне диска C и в вендовых каталогах - вдруг что подозрительное будет?

[langsamer.livejournal.com]

> Никакой NAT не запретит открыть на вашей машине порт, который будет ждать пока к нему кто-то подключиться :-)

Так этот левый еще и на NATe надо открыть - сам вечно забываю порты для торрента с ослом пооткрывать :)

[vickvega.livejournal.com]

A если PNP включен на раутере то ничего не надо :)

[farrax.livejournal.com]

Каспер эту хрень валит

[vilgeforce.livejournal.com]

Бы-гы-гы! Телепаты пришли!!! :-)

[farrax.livejournal.com]

в смысле - телепаты? Та же самая байда была - свцхост куда-то ломиться пытался, Каспер провизжал, перезагрузился и все, и нету Билла (с)

[vilgeforce.livejournal.com]

В смысле что по таким вот расплывчатым симптомам диагноз ставят :-D Заразы всякой - десятки тысяч разновидностей, и практически наверняка с такими симптомами не один вирус имеетсо.

[farrax.livejournal.com]

симптомы были те же самые, что описал автор поста

[trin-3-trin.livejournal.com]

см. http://trin-3-trin.livejournal.com/236314.html. Возможно, это то же самое.

[ex-mysteelhe377.livejournal.com]

во-во :)) у тебя само файло не осталось? интересно будет попробовать скормить антивирусам спустя неск. недель...

[aresh.livejournal.com]

Process Explorer умеет про svchost показывать какие именно сервисы под каждым его конкретным экземпляром крутятся.. Там подозрительного ничего?

[langsamer.livejournal.com]

Смотрел, вроде бы ничего странного не видел

[aresh.livejournal.com]

А что там конкретно за сервисы? Если они не критически важные, мож попробовать их останавливать/запускать поштучно и смотреть что получится?

[langsamer.livejournal.com]

Вернусь к домашнему компу, проверю..

[aresh.livejournal.com]

Кстати, а лежит именно этот svchost.exe где положено?

[langsamer.livejournal.com]

C:\WINDOWS\system32, где и полагается

[aresh.livejournal.com]

Ну, тогда таки сервис вычислять надо.. Или другой антивирус какой нибудь пробовать.

[vickvega.livejournal.com]

Под ripe зарегестрированна вся Европа.
Искать адреса надо здесь - http://www.ripe.net/whois

[vickvega.livejournal.com]

Последние два относятся к AKAMAI, скорей всего что-то пытается апдейтится.
И еще найдите эти dll на жестком диске и проверьте properties у них, не исключенно что какая-то лигитимная программа.