5 ответов в этой теме

[IIIypuk]

Заметил подозрительное поведение svchost -k netsvcs, на порт 61557 имеются на сотни подключений с разных IP адресов. идет постоянный трафик 5кб/сек как в ходящий как и исходящий. В списке подключений есть даже с несуществующих адресов в моей сети, к примеру 192.168.1.25. Шлюз у меня 192,168,0,1 (роутер с wi-fi) у мня ip 192.168.0.100



стоит 7-я бета, обновляется. сканирование сканером ничего не дало. как семерошным так и куреитом. в логах hijackthis и KRU ничего подозрительного не увител. в чем может быть косяк.

третья проверка куреитом не прошла. сканер запутался в ntfs линках (Documents and Settings, All Users, и т.п.) на системном диске. подготовка к сканированию продлилась больше 20 мин. но так он и не осилил определиться со списком файлов для сканирования

Прикрепленные файлы:

•  cureit_results.7z   195,13К   8 Скачано раз
•  hijackthis.log   17,14К   12 Скачано раз
•  RkU3.8.388.590.txt   66,6К   9 Скачано раз
•  ___IIIypuk_130811_120818.7z   1,38Мб   6 Скачано раз

Сообщение было изменено IIIypuk: 13 Август 2011 - 14:07

[Dmitry Shutov]

O20 - AppInit_DLLs: D:\Windows\system32\guard32.dll ?


остатки от COMODO?

O1 - Hosts: 205.175.225.203 rcpx.rockwellcollins.com ?

Инфрмация об узле
Имя узла: rcpx.rockwellcollins.com
IP адрес: 205.175.225.203
Страна: USA
Город: Cedar Rapids

Сообщение было изменено Dmitry Shutov: 13 Август 2011 - 15:51

[Borka]

d:\windows\system32\io02.sys ?
d:\windows\system32\clfs.sys ?

По поведению похоже на Конфикер. Посмотрите, что за службы запускаются от netsvc:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, ключ netsvcs

[IIIypuk]

O20 - AppInit_DLLs: D:\Windows\system32\guard32.dll ?


остатки от COMODO?

возможно, как-то стоял. но сейчас файла guard32.dll по этому пути нет.

O1 - Hosts: 205.175.225.203 rcpx.rockwellcollins.com ?

Инфрмация об узле
Имя узла: rcpx.rockwellcollins.com
IP адрес: 205.175.225.203
Страна: USA
Город: Cedar Rapids

работа.

[IIIypuk]

d:\windows\system32\io02.sys ?

Version language : Английский (США)
Comments : Written by Serj, testmem.nm.ru
FileDescription : Kernel-Mode Driver v0.2
FileVersion : 0.2
InternalName : io02
LegalCopyright : Copyright © 2005, Serj
OriginalFilename : io02.sys
ProductName : IO Driver
ProductVersion : 0.02

driver of S&M - system stress test program.

d:\windows\system32\clfs.sys ?

Version language : Русский (Россия)
CompanyName : Microsoft Corporation
FileDescription : Common Log File System Driver
FileVersion : 6.1.7600.16385 (win7_rtm.090713-1255)
InternalName : clfs.sys
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : Clfs.Sys.MUI
ProductName : Microsoft® Windows® Operating System
ProductVersion : 6.1.7600.16385

По поведению похоже на Конфикер. Посмотрите, что за службы запускаются от netsvc:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, ключ netsvcs

...

AeLookupSvc CertPropSvc SCPolicySvc lanmanserver gpsvc IKEEXT AudioSrv FastUserSwitchingCompatibility Ias Irmon Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess SRService Tapisrv Wmi WmdmPmSp TermService wuauserv BITS ShellHWDetection LogonHours PCAudit helpsvc uploadmgr iphlpsvc seclogon AppInfo msiscsi MMCSS wercplsupport EapHost ProfSvc schedule hkmsvc SessionEnv winmgmt browser Themes BDESVC AppMgmt

Сообщение было изменено IIIypuk: 13 Август 2011 - 16:49

[IIIypuk]

полазил по инету, нашел интересную информацию.
в общем этот порт юзается iphlpsvc службой

>netstat -a -b -p UDP
UDP 192.168.0.100:61557 *:*
iphlpsvc
[svchost.exe]

на форуме COMODO уже обсужlалось подобное поведение. в итоге виновник IPV6, который инкапсулируется в IPV4. Это протокол Teredo. так что отбой.

выключить интерфейс Teredo следующей командой


>netsh
netsh>interface
netsh interface>teredo
netsh interface teredo>set state disabled
ОК.