Проблема в следующем, позавчера вечером на одном из компьютеров KAV поймал виря (название при этом не сказал). успешно удалил его. однако после этого пошел дикий трафик в инет от процесса svchost (смотрю его описание по PID через taskinfo, пишет, что запущен сервис Запуск серверных процессов DCOM). поведение такое:
- после ребута, при отключенном инете, процесс svchost.exe ломится на адрес 210.245.124.114 [fpt114.vdrs.net] по 80 порту (в течение 20 сек, потом на 10 сек исчезает и снова появляется на 20 сек. т.е. шлет туда постоянно что-то, точнее пытается)
- при подключении инета, появляется порядка 20 соединений на разные адреса с большим исходящим трафиком, забивающим весь наш канал.
Этот компьютер 3 раза полностью проверялся различными антивирусами, но ничего не обнаружилось. сейчас этому компу просто порезали 80 порт, соответственно svchost все время пытается попасть на адрес 210.245.124.114
Логи сделал, единственное не смог отключить программу ipclient.exe. это процесс от банк-клиента "Сбербанка" для поключения к ихним сервакам. полное название проги Амикон ФПСУ/Клиент.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: