Архив форумов ЦИТФорума

[K-Unker]

На машине установлен WinXP Professional SP1 eng.
Каждый раз при прозвонке в инет (используется диал-ап) процесс system32\svchost.exe пытается по локальному порту 1025 открыть какой-то удаленный порт 2655 по адресу 82.207.31.89. Кто знает, что это за безобразия?

P.S. что самое интересное, 82.207.31.89 - не пингуется. Пытался посмотреть командой tracert - "request time out"

[bary]

Вирус Маза ФАКА

[K-Unker]

что ты хотел сказать? объясни, пожалуйста, внятнее

[bary]

Вирус ты зацепил, скорее всего.
Антивирусом посмотри.
Да и на этот ИП проссто пинг закрыт.

[and3008]

Это может быть любой вирус, использующий старую, как мир, дыру в RPC. Не использует ее только очень ленивый вирусописатель.

Патч брать здесь:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

Может все же сподобитесь скачать все обновления с windowsupdate.microsoft.com ?

Кроме дыры в RPC у windows еще куча других дыр. Один антивирус не поможет.

[K-Unker]

Странно.... этот патч у меня установлен

[and3008]

А другие патчи тоже установлены?

Я все патаю, пытаю...
windowsupdate посещали?
И чего там?

[K-Unker]

Дело в том, что пи попытке обновиться с windowsupdate почему-то вырубается диал-ап. Не могу понять из-за чего. А если файрволом блокировать этот svchost.exe - сайт обновлений сообщает, что "не могу проверить доступные обновления, отключите файрволл"....
Что делать? Все-таки, виной вирус? Только что прошелся касперским с сегодняшней (12 октября) базой - все чисто...

[cerber]

попробуй другой антивирус

[Steff]

[K-Unker]

ндя... это мой провайдер. Почему же он не пингуется?

[Steff]

[and3008]

На windowsupdate из WinXP уже не пущают вероятно...

Я в курилке тему "Слухи" запостил. Может прогноз сбывается?

[K-Unker]

Почему не пущают? Слишком часто обращается, что-ли?
Что-то не верится, често говоря...

[Steff]

[DumanTapah]

[Steff]

[DumanTapah]

конечно!
плох тот админ, у которого сервак может отправлять что-то без благословения админа.=)
_________________
Vivere militari est!

[K-Unker]

[and3008]

Осталась еще одна попытка. Поелозить прогой AD-aware от Lavasoft.

Возможно у тебя какой-то зверек все же есть. Ибо не верю я в чудесатые чудеса.

Еще. Есть чудная прога Far Manager
Она позволяет глядеть список запущенных процессов. Alt+F1 (F2) потом цифра 0 (ноль)
А вот теперь выбираем нужный процесс и жмем F3. Видим весьма прелюбопытную инфу. Как то: Путь к проге, какие dll-ки она подгрузила, переменные среды, и еще много вкусного. Для быстрого "разбора полетов" лучшего и простого средства пока не знаю.

[K-Unker]

Все сделал, как ты посоветовал. Скачал AD-Aware 6.0 Personal от Lava Soft, обновил ее. Просканировл все диски. Прога нашла какие-то "подозрительные" куки, я их удалил. При этом svchost все также куда-то лезет. На этот раз по другому ай-пишнику...

В Far Manager внимательно просмотрел - вроде, ничего подозрительного... Вообще, не совсем ясно какая из копий svchost лезет на удаленный айпишник... У меня в памяти висит 4 крпии процесса svchost.... Что делать?

[Steff]

Блин - я же писал - я с этой гадостью ДОЛГО боролся, решил путем долгой сменой разных Анвирей и разных АнтиАварок. Плюс поиска инфы на www.viruslab.com и чисткой ручками. К примеру - ишу на вируслаб ir.exe - смотрю, что там написанно и мучаю реестр. Вот как пример -

http://www.viruslist.com/viruslist.html?id=144497704

Плюс, из опыта - скажи у тебя в папочке - win/system32/services что то есть?
_________________
Dum spiro, spermo ))

[vvt]

Посмотри чего этот сервисез хост делает. У меня похожая штука на некоторых машинах была, эти машины все время пытались просканировать некие удмленные сети, и svchost на них отжирал почти все прцессорное время, пытался найти файлик msnmsgrr. Заражал машины через дырку в rpc