Ситуация такая: Имеется сеть из 3-ех компов, работающих через хаб. Один из компов подключен к инету через диалап. Остальные получают доступ в интернет через 1-ый.

Так вот на одном компе замечается такая вещь. Нехороший процесс SVCHOST на порту 2869 что-то усиленно пытается скачать из нета. При этом, такое может появиться при загрузке системы, а может и нет. Стоят Outpost 4 pro, Avira AntiVir Personal ed Classic. На шпионов проверял XoftSpySE 4.29, Ad-Aware SE Professional 1.06 и аутпостовским анти-шпионом. Что нашлось - удалил. Но даже после этого он изредко туда лезет. Система стоит XP pro SP2.

Так же замечено, что процесс может появиться и после переустановки всей системы. Автообновление и прочие радости отключены.

У кого какие предположения на счет этой проблемы?

svchost.exe это сервис для локальной сети хотя через него могут разные программы в инет лазить, попробуй выгружать по одной проге и смотреть что измениться.

svchost.exe - Generic Host Process for Win32 Services. Нужен для запуска различных системных сервисов. Значит какая-то служба пытается через него выйти в инет. тебе поможет команда tasklist /svc

В общем вот строчка:

svchost.exe 3352 HTTPFilter

Что такое HTTPFilter?

а там инжекта нет случаем? аутпост не говорил ничего?
>HTTPFilter HTTP SSL
линк
http://www.google.ru/search?hl=ru&q=%22HTTPFilter%22&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

Когда проверяю обновления для Вынь svchost.exe хавает больше всего ресурсов.

Обнови вынь и все пройдет.

W!z@rD нет, молчит, как партизан.
Но, спустя пары часов экспериментов с выгрузкой программ, выяснилось, что запрос на удаленный порт 2869 идет при запуске FireFox, но не исчезает после его закрытия. При этом он может что-то качать, а может просто висеть на удаленном порту без всякой активности.

EPIDEM если ты имеешь ввиду обновить XP, то на диалапе это будет лет 5-6 :D

svchost.exe - Generic Host Process for Win32 Services приложение будет закрыто приносим извинения за неудобства
Во-во-во, у меня Виндоуз ХР СП2 постоянно это писал каждые минут 5-7 эту ошибку выдавал, решил Home поставить, дня 2 все нормально было, а потом опять!!! Далее прикол! Поставил ВИСТУ, и даже на висте эта ошибка вылезала, только окошко выглядело подругому, а ошибка все таже!
Доктор Веб определяет это файл в памяти или в С:\WINDOWS\svchost.exe как вирус win32!
Что это за чудо?

А антивирус стоит? Включен?

Зелибоба
Доктор Веб определяет это файл в памяти или в С:\WINDOWS\svchost.exe как вирус win32!
Что это за чудо?
Это Virus.Win32.Hidrag
подробнее тут _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=81289

настоящий адрес процесса c:\windows\system32\svchost.exe
так что если в папке с:\windows валяется svchost.exe - это сразу наводит на нехорошую мысль, " а хрена ваще сдесь делает svchost?" также смотри(WINEVENT.EXE, alg.exe, MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE)

Noman
Стоят Outpost 4 pro
Создай правило, запрещающее любую сетевую активность c теми адресами, которые вызывают у тебя подозрение
и поищи в любых каталогах, кроме \system32, особенно в папке c:\windows выше перечисленные мною exe'шники или dll'ки

ch0Sen разумеется, расположение процесса я уточнял. Сейчас посмотрел остальные - таких тоже нет.
Что касаемо правила, если я создаю такое правило на удаленный 2869, то у меня не открываются страницы в браузере, но только те, которые до этого не были открыты. По ним я могу свободно перемещаться, по другим нет. И данный процесс продолжает создаваться до бесконечности пока аутпост удаляет заблокированные.

если я создаю такое правило на удаленный 2869, то у меня не открываются страницы в браузере

Я имел ввиду правило для Исходящего направления на те удалённые адреса, к которым без твоего ведома идёт конект, а не блокироровку локального порта.

Не ЧУВАК, в папке винды он тоже есть!
И в систем 32 тоже!

Не ЧУВАК, в папке винды он тоже есть!
И в систем 32 тоже!
удаляй. его там не должно быть. это скорее всего вирусак

Продолжение веселья. Включаю комп, запускаю qip, потом The Bat, начинаю проверку почты - пишет невозможно соединиться с сервером, потом qip начинает писать "Ваш клиент отправляет пакеты слишком часто. Подождите пару минут или отправляйте сообщения помедленнее, иначе вы будете отключены от сервера." - хотя я с него не отправил ни одного сообщения. Отрубаю qip. Лезу в аутпост смотреть что куда лезет - опять исходящее SVCHOST но уже по UDP. Аутпост его блокирует, и как только The Bat пишет, что невозможна связь с сервером, процесс пропадает. Если включаю qip, то что-то опять же через svchost по UDP лезет на DNS удаленного компа. При этом ранее и qip и мыша у меня работали около года без проблем.
Уже раз 5 проверился антивирем со свежими базами - толку чуть. Вообщем надо переходить на линукс =)

ch0Sen там и удаленного адреса нет. То бишь он c любого локального порта лезет на комп, где стоит модем, а именно на 2869 порт, то есть удаленный адрес имеет вид name.mshome.net

По моему в данном случае проще снести систему...