Сканирование портов в сети svchost

Добрый день!
Вчера около 19:00 началась странная активность с адреса ПК 192.168.0.20

mikrotik на другом конце VPN поймал сканирование портов от компьютера 192.168.0.20

как оказалось с этого компьютера повсей сети куча обращений идет.... KVRT, CureIT, AdvCleaner, Malwarebytes ничего не находят на ПК стоит лицензионный ESSET ENDPOINT ANTIVIRUS...
Небольшой опыт борьбы с вирусами есть но сам ничего вручную не нашел...

Установил NETLimiter пытаясь вычислить какой процесс занимается этим безобразием.... обнаружил что это идет от имени родного svchost.exe (размер файла и атрибуты такие же как у родного лежит в System32 всмысле нет подмены) что-то через него работает но вот что не пойму...

Заблокировал в NETLimiter (проверял по очереди все запущенные сервисы) входящий и исходящий трафик для "Хост-процесс для служб Windows" сканирование прекратилось.... активность создают похоже именно PID 3040 и 1144 "Сервис: Обнаружение SSDP" и "Сервис: Службы сведений о подключенных сетях"...

Это уже второй такой случай - неделю назад на другом компьютере наблюдалась схожая активность (тут в основном UDP запросы а на первом просто был перебор портов и IP адресов самых разных) ничего не нашел просто переустановил Windows 7..

Пока ПК отключил от сети хочу понять что это и как искать
Причем интересно то, что у меня есть 3 VPN тунеля на разные офисы... так эта гадость ломится в сети 10.0.0.0\24...и 172.23.0.0\24... но почему-то не сканирует третью сеть 192.168.0.0\24 хотя она самая популярная...

Уважаемый(ая) [B]Crystal[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Проверьте заново на virustotal.com файл:[CODE]C:\Program Files (x86)\ThinkSky\iTools 3\iToolsDaemon.exe[/CODE]
Что-то он Dr. Web не нравится.

Обновления системы все установлены?

Добрый день!

мда уж странная ситуация.... iTools проверю...

Пока разбирался странное поведение прекратилось...
и уже 2 дня наблюдаю за этим ПК по всем его обращениям... все в пределах нормы....

Подозрение вызвало огромное (тысячи) количество запросов на 53 порт моего роутера и 8.8.8.8 ...мой DHCP раздает 2 IP DNS - свой и гугла
и при этом ПК только загрузился и ничего не запустили...

Тревогу вызвали обращения компьютера так же на адреса 10.0.1.2 и 10.0.1.4 это DNS и AD другой сети на другом конце VPN тунеля... этот ПК (192.168.0.20) никак не мог знать о их существовании.... кроме как если просканировать подсеть 10.0.1.0\24 .... она доступна через VPN но если знаешь куда стучаться...

Все обновления доставил.... отключил так же SMB1.0 в сервере и клиенте и временно вообще отключил службу "Сервер" на всех ПК

первый случай был иным... тогда с другого компьютера наблюдалось именно сканирование портов переберались все и на разные IP адреса... разных подсетей... сейчас же были только DNS запросы... уж не хакер ли какой влез и развлекается :(... думаю всем фаерволы поставить... не знаю что и думать... может они как-то через SSDP снюхались :(.. и ничего сверхестественного и не произошло...


пугают такие вот вопросы [url]http://www.securitylab.ru/forum/forum20/topic6343/[/url]

По логам чисто, тем не менее.