Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)
-   -   Странное подключение. (https://forum.antichat.xyz/showthread.php?t=143224)

B1t.exe 23.09.2009 19:52

Странное подключение.
 
Ребята, сегодня компютер включил и не знаю с чего запускался автоматическе обновление, хотя я отключил службу. Проверяю службы - а там статус Automatic и служба действительно запущен !!! Ладно, это хрен с ним, думал может глюк какой-то, отключаю службу, но видно, что качается что-то. Перезагружаю компютер уже с отключенным службой обновленем и вижу, что опять качает что-то ! а что именно и откуда - не могу понять !
вот скрин снял из NOD32 smart Security:
http://i008.radikal.ru/0909/d8/1948675fdb79.jpg

Перезагрузил опять. Теперь другая картина:
http://s41.radikal.ru/i092/0909/82/67b2bc49c2d7.jpg

Кто знает, что за фигня ?

-Unlocked- 23.09.2009 19:53

Тебя похекал Билли.

B1t.exe 23.09.2009 20:01

Цитата:

Сообщение от -Unlocked-
Тебя похекал Билли.

)) ага ))) на это похож. блин. закрываю эту подключение - опять создается !

вирусы вроде нету..

MS обновление вроде по 443 портом идет?
а тут 80 порт.. что это может быть ?

[Dezzter] 23.09.2009 20:01

снеси винду! троян svchost удалится автоматически

Cthulchu 23.09.2009 20:03

бот на админку отстукивается. Подожди чуть-чуть, щас напишу обход фаерволов через пользовательский браузер и обновлю...

B1t.exe 23.09.2009 20:08

бля, это серьезно бот или прикалываешся ? скажу, что мне не до приколов.

stopxaker 23.09.2009 20:08

Цитата:

Сообщение от B1t.exe
)) ага ))) на это похож. блин. закрываю эту подключение - опять создается !

вирусы вроде нету..

MS обновление вроде по 443 портом идет?
а тут 80 порт.. что это может быть ?

MS обновления идут на 445 порту , а 443 порт это HTTPS , а на 80 порту веб серваки , бывает что Скайп висит на нём же .... , но так же может быть и бот , может даже у тебя подняли локальный веб сервер

click 23.09.2009 20:09

трояна:) было такое же, долго морчочился, так как свхосту, то не запретишь подключение, потом таки срезал оутпостом не нужное, авиры не помогли, потом нашел старым дедовским методом - дата создания, зверь лежал вроде в систем32

[Dezzter] 23.09.2009 20:09

откомпелируй себе голову скейтбордом

Cthulchu 23.09.2009 20:14

бит, посмотри хуиз айпишника на который отстукивается свхост и все сразу поймешь. мне просто лень и хочется пошутить, извини.
а то тут всякие угадывают по портам.

B1t.exe 23.09.2009 20:16

stopxaker
не, скайпа нету у меня. Насчел локального веб сервера - у меня стоит ДЕНВЕР, но запускается ручным. да и довно стоит он у меня и никогда такие проблемы не были.
вот насчет троянов - верю.. все может быть, но никак неваринат разобрать СВХОСТ ? Не хочется переустановить систему.

[Dezzter]

Хорош ***ню писать бля. я тебе серьезно говорю не до шуток дела.

B1t.exe 23.09.2009 20:22

Cthulchu

пробовал. нихрена не откывается.
Цитата:

The webpage cannot be found
вот особо напрягает 87.248.207.147 адрес. **** закрываю а он через минутку заново запускается.

Cthulchu 23.09.2009 20:25

щас.

Cthulchu 23.09.2009 20:28

Цитата:

inetnum: 87.248.194.0 - 87.248.223.255
netname: LLNW-EU-2
descr: LLNW Europe 2
country: EU
admin-c: GT4087-RIPE
tech-c: GT4087-RIPE
status: ASSIGNED PA
mnt-by: LLNW-MNT
source: RIPE # Filtered

person: Guy Tal
address: Limelight Networks
address: 2220 W. 14th Street
address: Tempe, AZ 85281 USA
phone: +16028505095
e-mail:
nic-hdl: GT4087-RIPE
source: RIPE # Filtered
Цитата:

IP Address 87.248.207.147
Host cds10.arn.llnw.net
Location FR, France
City -, - -
Organization LIMELIGHT NETWORKS
ISP LIMELIGHT NETWORKS
AS Number AS22822
Latitude 46°00'00" North
Longitude 2°00'00" East
Distance 1729.19 km (1074.47 miles)
Цитата:

inetnum: 87.248.194.0 - 87.248.223.255
netname: LLNW-EU-2
descr: LLNW Europe 2
country: EU
admin-c: GT4087-RIPE
tech-c: GT4087-RIPE
status: ASSIGNED PA
mnt-by: LLNW-MNT
source: RIPE # Filtered

person: Guy Tal
address: Limelight Networks
address: 2220 W. 14th Street
address: Tempe, AZ 85281 USA
phone: +16028505095
e-mail: guy@llnw.com
nic-hdl: GT4087-RIPE
source: RIPE # Filtered
я бы еще посканил, но щас на работе. Да, это бот, с чем тебя и поздравляю. Лучись (Лечись).

SpangeBoB 23.09.2009 20:31

Цитата:

Сообщение от stopxaker
MS обновления идут на 445 порту , а 443 порт это HTTPS , а на 80 порту веб серваки , бывает что Скайп висит на нём же .... , но так же может быть и бот , может даже у тебя подняли локальный веб сервер

Давно у вас стали обновления на 445 порту,всегда был 80.

Flair 23.09.2009 20:32

че за программой отслеживаеш трафик?

B1t.exe 23.09.2009 20:36

а каким прогой можно это "ликвидировать" ?

Flair

NOD32 Smart Security 4

Flair 23.09.2009 20:37

мб файрволом? ((

B1t.exe 23.09.2009 20:39

ну можно и сетевой кабель выдернуть, но сам факт, что у меня в системе бот - это остается !

-Unlocked- 23.09.2009 20:41

Flair, Да, файрволлом. Нод Смарт Секурити включай в себя файрволл.

click 23.09.2009 20:41

>>а каким прогой можно это "ликвидировать" ?
говоришь вчера этого не было? пользуй старый метод придуманный сто лет назад, поиск ексешников во всех директориях включая системные, созданные за сегодня и вчера.
просканься CureIT'oм

B1t.exe 23.09.2009 21:09

а если запретить вообше подключение svchost.exe к инету?

сканировал CureIT'oм - 0 результатов.
сам NOD32 обнаружил 2-3 "заразы" в паке Metasploit. ну я думаю это нормально.

click 23.09.2009 21:10

перестанет скороей всего работать инет)
юзай описанный метод
еще AVZ можно попробовать.


Время: 20:32