[Greyman]

Grub

Цитата:

Так что грешить на службу как-то не хочется.

На чью службу? На службу АРМ - да, не стоит. Но вот что стучиться с сервака - это вопрос и в этом и стоит разбираться. Как вариант, это может быть штатная ситуация, но может быть и что-нить вредное, надо разбираться...

Цитата:

Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe

Я уже писал про недостаток того, что аутпост не паказывает ИД-процессов. Указанный родительский процесс говорит как раз о том, что идет запуск сужб. Ну а сам принцип работы svchost.exe вообще практически не позволяет определить, к какой конкретно службе стучится сервак. Про сам это процесс можно посмотреть у микрософта:
Описание процесса Svchost.exe в Windows XP
Т. о. один отображаемый в списке задач процесс запускает целую группу служб и методом отключения можно определить тоолько эту группу. Для определения же конкретной службы, а соответственно и ее подозрительной *.dll необходимо проделывать утомительную работу по проверке служб из конкретной группы, задавая их отключение и запуск и проверяя работу машины. Может у мелкомяхких и была какая-то мысль, но то, что они не могли выделить запуск отдельных библиотек в отдельные процессы, кажется большой глупостью, когда речь заходит о подобной отладке.

Т. е. варинт "трояна" таки возможен. Первый приходящий в голову - это заражение библиотеки одной из стандартный служб. Однако т. к. они все подписаны, то командой SFC подобное заражение легко ликведируется (если не рассматривать вариант руткитов). Однако возможна подсадка трояна так, что в сервисах прописывается дополнительная служба со своими параметрами, соответственно не содержащая подписи MS, возможно с "подходящим" названием, заносится в одну из групп svhosts и ставится ее автоматическая загрузка. В этом случае троянская библиотека будет грузится на равне со стандартными службами и система ничего не будет видеть в этом подозрительного.

Как вариант, можно собрать все *.dll загружаемые svhosts (определяется анализом соответствующих ключей реестра) и проверить их в инете на мультиантивирусных сканерах (ссылка есть в объявлениях в разделе ИБ). Я бы наверное начал бы именно с этого, если бы подозревал именно смою тачку, а не сервер.

[Greyman]

Кстати, щас еще пришла идея по поводу этого дурацкого svhosts. Если в аутпосте включен контроль компонентов, то он записывает все используемые файлы для каждого процесса в файле "modules.0". Поэтому можно не рыскать по реестру, а взять файлы для проверки основываясь прямо на нем... Вот только все равно, придется анализировать сразу несколько мест, т. к. для процесса он записывает только порядковые номера, поэтому чтобы найти имя файла, надо найти его номер, ну а для того, чтобы найти его место расположение, надо еще и в начале текущего блока посмотреть. Да к тому же количество используемых файлов все же больше, чем количество запущенных им служб (в моем случае аутпос сохранил данные о 154 файлах). Для упрощения работы можно было бы конечно написать простенькую програмку, к-ая бы сама анализирвала реестр или файл аутпоста и сразу собирала нужные файлы для проверки, но это уже отдельная тема...

[Grub]

Ладно... Будем думать над твоими словами... Но вот только у меня еще один сам по себе возникает: почему НИ ОДИН АНТИВИРЬ ничего не нашел? Я перепробовал всё что здесь предлагалось против червей и рез-т = НОЛЬ ... Может и не червь это,а?

[Greyman]

По симптомам это не может быть червь. Червь должен был бы быть на серваке, если он есть. Если же какая-то дрян на самом АРМ, то это троян. Я же и говорю, что вряд ли это действительно что-то специально вредоносное. ИМХО это все же что-то штатное, либо ошибка программиста конкретного приложения одной из запущенных библиотек. Вот только определить именну ту биллиотеку, на которую идет соединения, из-за мелкософтовской идеи "укрупнения" можно только путем отладки, просматривая куда потом передает svhosts пришедший сетевой запрос. Как это сделать более простым способом - понятия не имею... Может со временем и появится соответствующий ПСЭ, позволяющий отслеживать движение сетевых запросов на более низком уровне процессов, чем это предусмотрено маздаевцами...

Хм-м-м... Совсем забыл про снифферы... Можно же перехватывать соответствующие запросы, а потом анилизировать с целью того, чтобы определить куда они идут. Правда это будет нудная и ручная работа...

[Grub]

Prio показывает что сервак конектится вот к этой службе Hosting Services: DNS-клиент. Все разрешенные мною соединения подписаны этой службой. Вопрос: так должно быть? Я понимаю что DNS - это важняцкая служба, но зачем ей столько соединений с моим компом? Я разрешил 9 раз, а он(сервак) все равно долбится ко мне.... У всех процессов одинаковый PID.