В сети появились несанкционированные обращения к внешнему ip адресу (каждые 0,5 часа). Причем эта зараза проявилась уже на четырех компьютерах в сети.
Outpost Firewall показал, что это svchost.exe (Логи прилагаются).
Антивируники ничего не нашли. Использовала для проверки Norton Antivirus (базы последние), и утилиту от drWeb - CureIT!
Оновление системы отключено.
ОС: Windows XP sp2.
P.S. Программа HijackThis у меня почему-то не скачалась. Предполагаю, что прокси зарезает.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для начала стоит прислать согласно правилам:
C:\Program Files\SPSS\runsyntx.exe
C:\WINDOWS\system32\prtserv.dll
C:\Program Files\ORL\VNC\VNCHooks.dll
C:\Program Files\ORL\VNC\omnithread_rt.dll
C:\Program Files\ORL\VNC\WinVNC.exe
Понятно. В логах больше ничего особо криминальногно не видно. Тут другой момент - я никогда не пользовался Outpost, а по логу не совсем ясно - svchost.exe пытается соединиться с Инет, или он получает запрос на соединение извне ? Фокус в том, что номр порта меняется, как будто идет сканирование портов
хм, действительно сначала идет входящий запрос по udp с разных портов на локальный порт 1900 (и только на него). и так 10 раз. Затем одно исходящее соединение с моего пк по tcp (c разных портов).
сорри, не сильна во взломах. Но мне казалось, что при скане портов должен меняться порт сканируемого пк, а не сканирующего. надо будет теорию почитать на досуге
А который адрес ваш? 192.168.0.68 или 10.0.0.138? Оба, кстати, локально-сетевые. Если ваш первый, то входящие UDP, скорее всего, мультикасты. Какое-то широковещание в вашей сети работает на адресе 10.0.0.138. А svchost лезет на этот же хост на некий web-сервер.
А что за сеть? 10.0.0.138 - это ведь тоже не интернет. Какая-то контора, к которой ваша локалка подключена. Так что до владельца адреса вполне можно добраться и спросить.
1. Поставить реальный антивирус. Norton Antivirus к ним не относится, но это отдельная тема.
2. Немедленно убрать svchost.exe из списка "Доверенные" в "Пользовательский" уровень в Outpost Firewall - или деинсталлируйте ОР, т.к. в Вашем случае смысла в фаере уже нет.
3. В Винде. Администрирование - Службы - "Служба обнаружения SSDP". Поставить тип запуска - Отключено.
4. А вообще, логи в ОР (Outpost Firewall) делаются не так. Прежде чем сделать логи нужно правой кнопкой мыши выбрать "колонки" и проставить галочки. Вот только тогда инфа будет вся и можно будет узнать кто же на самом деле качает траффик.
5. c:\program files\tmeter\trafsvc.exe - А это еще что такое? Какой-то Traffic Inspector наверное, хотя это и неважно. Учтите, что ОР может неправильно работать с программами ограничителями таффика и другими, подобного рода.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: