Ребята, сегодня компютер включил и не знаю с чего запускался автоматическе обновление, хотя я отключил службу. Проверяю службы - а там статус Automatic и служба действительно запущен !!! Ладно, это хрен с ним, думал может глюк какой-то, отключаю службу, но видно, что качается что-то. Перезагружаю компютер уже с отключенным службой обновленем и вижу, что опять качает что-то ! а что именно и откуда - не могу понять !
вот скрин снял из NOD32 smart Security:
http://i008.radikal.ru/0909/d8/1948675fdb79.jpg

Перезагрузил опять. Теперь другая картина:
http://s41.radikal.ru/i092/0909/82/67b2bc49c2d7.jpg

Кто знает, что за фигня ?

Тебя похекал Билли.

Тебя похекал Билли.

)) ага ))) на это похож. блин. закрываю эту подключение - опять создается !

вирусы вроде нету..

MS обновление вроде по 443 портом идет?
а тут 80 порт.. что это может быть ?

снеси винду! троян svchost удалится автоматически

бот на админку отстукивается. Подожди чуть-чуть, щас напишу обход фаерволов через пользовательский браузер и обновлю...

бля, это серьезно бот или прикалываешся ? скажу, что мне не до приколов.

)) ага ))) на это похож. блин. закрываю эту подключение - опять создается !

вирусы вроде нету..

MS обновление вроде по 443 портом идет?
а тут 80 порт.. что это может быть ?

MS обновления идут на 445 порту , а 443 порт это HTTPS , а на 80 порту веб серваки , бывает что Скайп висит на нём же .... , но так же может быть и бот , может даже у тебя подняли локальный веб сервер

трояна:) было такое же, долго морчочился, так как свхосту, то не запретишь подключение, потом таки срезал оутпостом не нужное, авиры не помогли, потом нашел старым дедовским методом - дата создания, зверь лежал вроде в систем32

откомпелируй себе голову скейтбордом

бит, посмотри хуиз айпишника на который отстукивается свхост и все сразу поймешь. мне просто лень и хочется пошутить, извини.
а то тут всякие угадывают по портам.

stopxaker
не, скайпа нету у меня. Насчел локального веб сервера - у меня стоит ДЕНВЕР, но запускается ручным. да и довно стоит он у меня и никогда такие проблемы не были.
вот насчет троянов - верю.. все может быть, но никак неваринат разобрать СВХОСТ ? Не хочется переустановить систему.

[Dezzter]

Хорош ***ню писать бля. я тебе серьезно говорю не до шуток дела.

Cthulchu

пробовал. нихрена не откывается.
The webpage cannot be found
вот особо напрягает 87.248.207.147 адрес. **** закрываю а он через минутку заново запускается.

щас.

inetnum: 87.248.194.0 - 87.248.223.255
netname: LLNW-EU-2
descr: LLNW Europe 2
country: EU
admin-c: GT4087-RIPE
tech-c: GT4087-RIPE
status: ASSIGNED PA
mnt-by: LLNW-MNT
source: RIPE # Filtered

person: Guy Tal
address: Limelight Networks
address: 2220 W. 14th Street
address: Tempe, AZ 85281 USA
phone: +16028505095
e-mail:
nic-hdl: GT4087-RIPE
source: RIPE # Filtered

IP Address 87.248.207.147
Host cds10.arn.llnw.net
Location FR, France
City -, - -
Organization LIMELIGHT NETWORKS
ISP LIMELIGHT NETWORKS
AS Number AS22822
Latitude 46°00'00" North
Longitude 2°00'00" East
Distance 1729.19 km (1074.47 miles)

inetnum: 87.248.194.0 - 87.248.223.255
netname: LLNW-EU-2
descr: LLNW Europe 2
country: EU
admin-c: GT4087-RIPE
tech-c: GT4087-RIPE
status: ASSIGNED PA
mnt-by: LLNW-MNT
source: RIPE # Filtered

person: Guy Tal
address: Limelight Networks
address: 2220 W. 14th Street
address: Tempe, AZ 85281 USA
phone: +16028505095
e-mail: guy@llnw.com
nic-hdl: GT4087-RIPE
source: RIPE # Filtered
я бы еще посканил, но щас на работе. Да, это бот, с чем тебя и поздравляю. Лучись (Лечись).

MS обновления идут на 445 порту , а 443 порт это HTTPS , а на 80 порту веб серваки , бывает что Скайп висит на нём же .... , но так же может быть и бот , может даже у тебя подняли локальный веб сервер
Давно у вас стали обновления на 445 порту,всегда был 80.

че за программой отслеживаеш трафик?

а каким прогой можно это "ликвидировать" ?

Flair

NOD32 Smart Security 4

мб файрволом? ((

ну можно и сетевой кабель выдернуть, но сам факт, что у меня в системе бот - это остается !

Flair, Да, файрволлом. Нод Смарт Секурити включай в себя файрволл.

>>а каким прогой можно это "ликвидировать" ?
говоришь вчера этого не было? пользуй старый метод придуманный сто лет назад, поиск ексешников во всех директориях включая системные, созданные за сегодня и вчера.
просканься CureIT'oм

а если запретить вообше подключение svchost.exe к инету?

сканировал CureIT'oм - 0 результатов.
сам NOD32 обнаружил 2-3 "заразы" в паке Metasploit. ну я думаю это нормально.

перестанет скороей всего работать инет)
юзай описанный метод
еще AVZ можно попробовать.