Я полагаю, что у меня на компе что-то завелось посторонее. Windows Defender, ZoneAlarm, AVG не находят ничего. Проявляется так:
1. процесс svchost из под учетной записи NetworkService стучится на адреса (редко):
87.248.203.81:HTTP, 87.248.203.79:HTTP, 217.212.252.72:HTTP, 217.212.252.81:HTTP (и другеие провайдера Akamai), по логам файрвола, последний октет меняется.
2. при этом один из тредов этого svchost загружает процессор на 15-30% в библиотеке cryptsvc.dll (получено из ProcessExplorer)
3. тот самый svchost (из под NetworkService) работает почему-то с папкой \Users\sysadm\AppData\LocalLow\Microsoft\CryptnetU rlCache
Сведения о системе: Vista Business SP1 32Bit. UAC включен, sysadm - учетная запись администратора
Заранее благодарен за внимание.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Подозрительных файлов не обнаружено, лог сканирования прилагается. Максимальные настройки. Сканирование только диска с системой (Users, Program Files, Windows).
По сравнению с предыдущим сканированием, установлен фаерволл.
В скрипте, создающем syscure, меня смущает автоматическое лечение / карантин.
Да, это не результат работы стандартного скрипта. Это протокол сканирования.
Я не понимаю, что делает данный скрипт при лечении / карантине. Описание на сайте программы не очень подробное. Исходного кода скрипта у меня нет.
Насколько критично наличие именно результатов работы скрипта? Могу я собрать нужные данные вручную, из интерфейса AVZ, или как-нибудь еще?
Можно ли запустить скрипт в режиме "только чтение"?
Из стандартных скриптов я запускал только второй. В описании третьего сказано, что он в том числе и лечит файлы. Может я параноик, но сначала хотел бы понять что, а потом лечить.
Сканирование с максимальными настройками подозрительных файлов не обнаружило (протокол выше). Судя по описанию скрипта, результат должен был бы содержать подозрительные файлы, которых не найдено (в области сканирования, конечно).
Дополнение к первоначальному описанию:
В пункте 2. процессор не грузится, если соединение установить не удается.
У меня еще вопрос по перехватчикам IRP, я полагаю, неопознанных перехватчиков быть не должно?
В Windows Vista администратор понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбрать пункт Запустить от имени администратора (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку OK.
Всем спасибо, spyware скорее всего имеет отношение к Microsoft.
Выяснилось, что адреса по которым обращается Svchost арендуются именно этой компанией.
Провайдеры Akamai, TeliaCarrier и LimeLight предоставляют услуги глобального перераспределения нагрузки через системы DNS. По сути, на DNS запрос выдается новый IP адрес каждые 20 секунд.
Обратное разрешение указанных в начале IP адресов дает в том числе именя a1363.g.akamai.net и i.msdn.microsoft.com.
Здесь 1363 - номер клиента, по видимому Майкрософт. Данная система перерасределения нагрузки используется в том числе для статического контента MSDN. (i.msdn.microsoft.com разрешается в разные IP адреса).
Остается непонятно, зачем Svchost в котором работают службы Криптографии, Network Awareness и Терминалов, обращается к сайтам Майкрософт?
Проверка подключения к Интернет службой Network Awareness осуществляется по другому адресу (не помню точно).
Возможно он проверяет сертификаты безопасности (например для паспорта .NET), но зачем каждый день это делать несколько раз?
Уважаемый(ая) rrr2009, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: