Вирус-не вирус.. хз..

yolki

Заметил, что локальный линк всегда активен (интернетный линк не активен глянул нетстатом и вижу:
среди прочего..

  TCP    172.16.34.137:2869     172.16.33.106:2002     ESTABLISHED

  TCP    172.16.34.137:2869     172.16.33.179:1033     ESTABLISHED

  TCP    172.16.34.137:2869     172.16.34.40:63464     ESTABLISHED

  TCP    172.16.34.137:2869     172.16.34.196:2003     ESTABLISHED

  TCP    172.16.34.137:2869     172.16.34.208:2672     ESTABLISHED

  TCP    172.16.34.137:2869     172.16.34.208:3228     ESTABLISHED

по этому порту сидит видимо какой-то хттп-сервер ибо

> telnet homestead-tv 2869

blabla



HTTP/1.1 400 Bad Request

Content-Type: text/html

Server: Microsoft-HTTPAPI/1.0

Date: Sat, 21 Apr 2007 09:53:03 GMT

Connection: close

Content-Length: 35



<h1>Bad Request (Invalid Verb)</h1>



Подключение к узлу утеряно.

на GET/ он не отвечает => какая-то явно дыра типа бэкдора или трояна.
в авторанах подозритеьлного ничего нет..
исследование процессов привело к тому, что порт обслуживает Universal Plug&Play а также некто httpapi.dll в system32
удаление httpapi.dll в system32 ведёт к тому, что она там снова появляется через 10-20 секунд.
гугление по "2869", "httpapi.dll" и т.п. вразумительной ифнормации не дало

AlexV769

кто мешает поснифать трафик?

yolki

это мысль.. как-нибудь попробую.

kruzer25

исследование процессов привело к тому, что порт обслуживает Universal Plug&Play а также некто httpapi.dll в system32
удаление httpapi.dll в system32 ведёт к тому, что она там снова появляется через 10-20 секунд.

Просто, для инфы - httpapi.dll у меня под xp тоже есть; восстанавливается он, потому что это защищённый системный файл, они все себя так ведут.
Так что, бяка не в самой этой дллке, а в чём-то, что её использует...