[подозрение на вирус] svchost ломится в китай

yolki

netstat /b /n


...



  Proto  Local Address          Foreign Address        State           PID

  TCP    192.168.1.77:2401      121.227.84.51:4848     SYN_SENT        988

  BITS

  [svchost.exe]



$ nslookup 121.227.84.51

Name:    51.84.227.121.broad.sz.js.dynamic.163data.com.cn

Address:  121.227.84.51

BITS - вроде как апдейт винды. но блин, в китае?!


Модуль:                svchost.exe

Полный путь:           C:\WINDOWS\System32\svchost.exe

Версия файла:          5.2.3790.3959 (srv03_sp2_rtm.070216-1710)

Описание:              Generic Host Process for Win32 Services

PID:                   988

Parent PID:            596  (services.exe)

Приоритет:             8

Нитей:                 54

Владелец:              NT AUTHORITY\SYSTEM (S-1-5-18)

Сеанс:                 0



Запущен:               26.01.2009 19:30:36

Выполняется:           04:56:28



Командная строка:

C:\WINDOWS\System32\svchost.exe -k netsvcs



Текущий каталог:       C:\WINDOWS\system32\

...

Модули:

  База      Размер  Путь (версия и описание не показаны)

  01000000    6000 C:\WINDOWS\System32\svchost.exe

  7C800000   C0000 C:\WINDOWS\system32\ntdll.dll

  77E40000  102000 C:\WINDOWS\system32\kernel32.dll

...

  77530000   97000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_5.82.3790.3959_x-ww_78FCF8D0\COMCTL32.dll

  77420000  103000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.3790.3959_x-ww_D8713E55\Comctl32.dll

  4E7C0000   5C000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.WinHTTP_6595b64144ccf1df_5.1.3790.3959_x-ww_D1A2C081\WINHTTP.dll

...

антивирус стоит (SAV) но молчит..

kruzer25

BITS - специальная служба для передачи файлов, используется в том числе апдейтами.
Что за винда-то? Не виста Enterprise/Ultimate, активированная через китайский сервер, случаем?

juliuzz

чукча не читатель?
Версия файла: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)
Оставить комментарий
Имя или ник:
Комментарий: