vlkmoscow 18:00 31-05-2008Цитата: постоянно лезет в инет на 213.199.162.202 , 213.199.162.203
Organization Microsoft Internet Data Center
ISP Microsoft
если сразу закрыть то инет может не грузится
виндовс апдата закрыт
где посмотреть и чего он на Data Center ищет
была такая фишка на одной машине у клиента
svchost лез в инет запускаясь через iexplore, открывалось куча портов начиная с 10хх
оказалось BackDoor.Bulknet (http://getbits.info/category/news/page/228 "спам-рассылка вредоносных программ семейства BackDoor.Bulknet, которые - чтобы успешно скрываться в системе и восстанавливать ключи реестра - используют rootkit-технологии и сами рассылают спам").
хотя стоит DrWeb Enterprise Suite и на этой машине установлен был агент
обыкновенная проверка сканером агента в обычном режиме находил
трояны, но эту заразу не находил
поступил следующим образом
перезагрузился в безопасный режим
возможно в скрытых драйверах устройств не Plug and Play Диспетчера устройств, может сидеть какой-нибудь драйвер или несколько - файлы sys
на той тачке было system32\drivers\bhn28 (bhn28.sys) - удалить такие и перезагрузиться опять в безопасный режим
скачал на другой машине
https://www.microsoft.com/downloads/details.aspx?familyid=2996B9B6-03FF-4636-861A-46B3EAC7A305&displaylang=ru - установил заплатку в безопасном режиме - перезагрузился в безопасный режим
с drweb.com утилиту CureIt (launch)
запустил CureIt он то и нашел эту заразу - оказалось - BackDoor.Bulknet .217
