none
Как понять кто ломится в инет? RRS feed

  • Вопрос

  • Добрый день.
    Есть такая вот проблема. Сразу - если хотите посоветовать проверить сканерами анишпионами антивирусами итд, и посоветовать самую лучшую их версию - не надо спама. Проверил последней версией веба и адавара, ничего не нашло.
    Поймал какой то вирь или троянца, сразу скакнул исходящий трафик. Фаерволл показал что при загрузки открывается 1500 соединений и пытается чего то отправлять. Закрыл направление, разобрался - вычислил процесс (был в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\BlbSrv такой вот, запускал svchost процесс который и открывал 1500 соединений), почистил реестр откуда все это тянулось, поубирал файлы - источники из каталога FONTS (там dll и exe-шник лежали и что это не вирь?:) ). Теперь перестал трафик громадный идти на внешку и кучи соединений нету. Но - кое что осталось -
    Процесс svchost.exe (уже другой, который запускается по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs) постоянно ломится в интернет на ip 222.186.23.84, порт 8020 - так говорит файерволл. Попытался разобрать, какие библиотечки и службы подгружаются этим процессом. В реестре соответственно вот так:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost значение =
    6to4
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    DHCP
    ERSvc
    EventSystem
    FastUserSwitchingCompatibility
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    LanmanWorkstation
    Messenger
    Netman
    Nla
    Ntmssvc
    NWCWorkstation
    Nwsapagent
    Rasauto
    Rasman
    Remoteaccess
    Schedule
    Seclogon
    SENS
    Sharedaccess
    SRService
    Tapisrv
    Themes
    TrkWks
    W32Time
    WZCSVC
    Wmi
    WmdmPmSp
    winmgmt
    wscsvc
    xmlprov
    MHN
    BITS
    wuauserv
    ShellHWDetection
    helpsvc
    WmdmPmSN
    ; вроде все законные процессы - пошатался по интеренету, почитал описания. Рублю процесс, перестает ломиться на тот внешний ipшник. Есть 2 подозрения. или какой то из этих библиотечек все\таки незаконна\заражена, либо все в порядке но кто то дергает сам этот процесс, но как понять кто?
     
    22 сентября 2009 г. 6:17

Ответы

Все ответы