Поставил Win2000SP4, после чего несколько прог и Dr.Web с Outpost-ом.
В нет не выходил пока полностью фаервол не заработал.
После нескольких подключений Outpost показал одну попытку атаки, работая в режиме невидимости.
Сразу я внимания не обратил, но потом увидел как Outpost показывает сетевую активность процессов services.exe (поток netbios или же system) или svchost.exe.
Эти процессы (потоки) пытаются слать данные на различные адреса.
Вот, что показывает журнал:

2:10:01	NETBIOS	TCP	82.161.84.15	4421	Запретить NetBIOS соединения
2:09:26	NETBIOS	TCP	213.154.204.63	4348	Запретить NetBIOS соединения
2:08:07	NETBIOS	TCP	213.154.204.63	3574	Запретить NetBIOS соединения
2:05:28	NETBIOS	TCP	213.154.204.40	4699	Запретить NetBIOS соединения
2:05:17	NETBIOS	TCP	67.121.189.95	3880	Запретить NetBIOS соединения
2:01:25	NETBIOS	TCP	213.154.204.40	4402	Запретить NetBIOS соединения

Через время, то один то другой процесс пытается вылезть в нет. Вот еще кусочек журнала:

14.08.2004 21:01:39	svchost.exe	TCP	62.45.14.51	4777	Блокировать действия приложения svchost.exe
14.08.2004 21:01:32	NETBIOS	UDP	255.255.255.255	NETBIOS_DGM	Запретить NetBIOS соединения
14.08.2004 21:01:23	NETBIOS	UDP	255.255.255.255	NETBIOS_NS	Запретить NetBIOS соединения
14.08.2004 20:36:36	svchost.exe	TCP	82.207.228.199	3784	Блокировать действия приложения svchost.exe
14.08.2004 20:34:45	SYSTEM	TCP	82.207.26.195	3588	Пакет на закрытый порт
14.08.2004 20:33:27	svchost.exe	TCP	82.65.64.213	2812	Блокировать действия приложения svchost.exe
14.08.2004 20:33:20	svchost.exe	TCP	82.207.23.252	4177	Блокировать действия приложения svchost.exe
14.08.2004 20:33:04	svchost.exe	TCP	82.207.74.90	4013	Блокировать действия приложения svchost.exe
14.08.2004 20:31:22	svchost.exe	TCP	82.207.242.198	4450	Блокировать действия приложения svchost.exe
14.08.2004 20:30:19	svchost.exe	TCP	82.207.247.37	4084	Блокировать действия приложения svchost.exe
14.08.2004 20:29:54	NETBIOS	TCP	82.207.24.177	2523	Запретить NetBIOS соединения
14.08.2004 20:28:24	NETBIOS	TCP	82.207.18.48	4987	Запретить NetBIOS соединения
14.08.2004 20:28:01	SYSTEM	TCP	82.207.26.195	1909	Пакет на закрытый порт
14.08.2004 20:27:08	SYSTEM	ICMP	82.42.123.11	эхо-запрос/0	ICMP соединения
14.08.2004 20:26:10	svchost.exe	TCP	82.207.225.222	4048	Блокировать действия приложения svchost.exe
14.08.2004 20:25:06	NETBIOS	TCP	82.207.18.167	3696	Запретить NetBIOS соединения
14.08.2004 20:25:00	svchost.exe	TCP	82.207.232.109	3573	Блокировать действия приложения svchost.exe

Хотя есть и такое:

14.08.2004 19:31:28	svchost.exe	TCP	82.207.228.151	3949	Блокировать действия приложения svchost.exe
14.08.2004 19:29:54	svchost.exe	TCP	82.207.24.201	3368	Block Remote Procedure Call (TCP)
14.08.2004 19:28:38	NETBIOS	TCP	82.207.24.54	3060	Запретить NetBIOS соединения
14.08.2004 19:28:25	NETBIOS	TCP	82.207.25.227	4024	Запретить NetBIOS соединения
14.08.2004 19:27:36	NETBIOS	TCP	82.207.226.169	4952	Запретить NetBIOS соединения
14.08.2004 19:26:46	svchost.exe	TCP	82.207.233.95	3987	Block Remote Procedure Call (TCP)
14.08.2004 19:24:57	NETBIOS	TCP	82.207.24.177	2610	Запретить NetBIOS соединения
14.08.2004 19:24:45	svchost.exe	TCP	82.207.24.201	4818	Block Remote Procedure Call (TCP)
14.08.2004 19:24:41	svchost.exe	TCP	82.207.27.141	3843	Block Remote Procedure Call (TCP)
14.08.2004 19:23:55	svchost.exe	TCP	82.207.255.184	4188	Block Remote Procedure Call (TCP)
14.08.2004 19:23:42	svchost.exe	TCP	82.207.255.184	3828	Block Remote Procedure Call (TCP)
14.08.2004 19:23:07	svchost.exe	TCP	82.207.249.85	3451	Block Remote Procedure Call (TCP)
14.08.2004 19:22:50	NETBIOS	TCP	82.207.0.8	4417	Запретить NetBIOS соединения
14.08.2004 19:22:27	NETBIOS	TCP	82.207.233.95	3253	Запретить NetBIOS соединения
14.08.2004 19:22:21	NETBIOS	TCP	82.207.31.206	4568	Запретить NetBIOS соединения
14.08.2004 19:21:11	NETBIOS	TCP	82.207.74.107	2375	Запретить NetBIOS соединения
14.08.2004 19:20:56	svchost.exe	TCP	82.207.229.128	2786	Block Remote Procedure Call (TCP)
14.08.2004 19:19:50	NETBIOS	TCP	82.207.24.177	1379	Запретить NetBIOS соединения

Про червяка Lovesan я осведомлен. Устанавливаемый софт проверен на вири доктором вебом полностью.
Лишних процессов в диспетчере не висит (это точно - все сервисы, которые нельзя затушить и только те программы, которые я устанавливал (если запущены))

Вопрос заключается в следующем:
1) Существует ли возможность подхватить виря типа ловсан даже с утановленным фаерволом?
2) Доказывают ли приведенные записи журнала фаервола присутсвие червяка на машине или эти потоки в контексте процессов так и должны себя вести время от времени?
3) Если присутствие червяка есть, то как с ним бороться? Ведь Dr.Web (обновление базы за 01.08.2004) ничего не находит.
4) Относится ли к этой проблеме запущенный сервис regsvc.exe (Удаленное управление реестром, которое сейчас на машине не работает) ?

P.S.
Все дело в том что никаких процессов не вышибает, проблем нет, но меня раздражает эта скрытая сетевая активность (она появляется толко когда создается Dial-up соединение).
В чем же причина ?
Помогите ! Эксперты !

Microsoft Black B00Ts Ad-Ware :)))

„Microsoft Black B00Ts Ad-Ware :)))“
Можно более конкретно?

вот пример с зараженной машины:
Pid Process Port Proto Path
588 SERVUD~1 -> 21 TCP F:\2000\distr\SERV-U\SERVUD~1.EXE
444 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
8 System -> 1025 TCP
8 System -> 1386 TCP
8 System -> 1615 TCP
8 System -> 1633 TCP
8 System -> 1640 TCP
8 System -> 1646 TCP
8 System -> 1896 TCP
8 System -> 1902 TCP
8 System -> 1942 TCP
8 System -> 2072 TCP
8 System -> 2082 TCP
8 System -> 2092 TCP
8 System -> 2183 TCP
8 System -> 2633 TCP
8 System -> 2851 TCP
8 System -> 2868 TCP
8 System -> 2872 TCP
8 System -> 2876 TCP
2120 Icq -> 3068 TCP C:\Program Files\ICQ\Icq.exe
2188 mirc -> 3085 TCP F:\2000\distr\mIRC\mirc.exe
8 System -> 3086 TCP
8 System -> 3198 TCP
8 System -> 3260 TCP
8 System -> 3444 TCP
8 System -> 3949 TCP
8 System -> 4095 TCP
8 System -> 4182 TCP
1676 vncviewer -> 4187 TCP E:\Program Files\RealVNC\vncviewer.exe
8 System -> 4312 TCP
8 System -> 4369 TCP
8 System -> 4384 TCP
8 System -> 4531 TCP
8 System -> 4682 TCP
1472 iChat -> 7777 TCP C:\Program Files\Ichat\iChat.exe
2120 Icq -> 30000 TCP C:\Program Files\ICQ\Icq.exe
588 SERVUD~1 -> 43958 TCP F:\2000\distr\SERV-U\SERVUD~1.EXE

8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
1620 IEXPLORE -> 3039 UDP C:\Program Files\Internet Explorer\IEXPLORE.EXE
2120 Icq -> 3071 UDP C:\Program Files\ICQ\Icq.exe
1856 IEXPLORE -> 3136 UDP C:\Program Files\Internet Explorer\IEXPLORE.EXE
2312 IEXPLORE -> 3190 UDP C:\Program Files\Internet Explorer\IEXPLORE.EXE
800 Explorer -> 4372 UDP C:\WINNT\Explorer.EXE
у меня ни др.веб ни каспер не хотели его лечить.. хотя находили! я лечил так: открываешь ветку реестра RUN, смотришь подозрительный exe(у меня я уже не помню как он назывался, но что-то вроде penis32.exe :), удаляешь, ставишь права: ALL - NO ACCESS, в общем делаешь ее для всех недоступной(снимаешь галки с НА ЧТЕНИЕ ЗАПИСЬ и ВЫПОЛНЕНИЕ) потом ребут и просто удаляешь его.

отресолви айпишники :)

потри это безобразие и поставь ZoneAlarm 4.5 (5.0 не надо)

Noble Ghost
отресолви айпишники :)
Это как ? Я не знаю как это сделать ?

Дело в том, что ветки как для LM так и для CU я проверял.
Там ничего постороннего нет. Может с софом который я ставлю втулен какой то червь или они так не распространяются ?

два из низ показывают на голандские адреса, третий на американский pacbell. видно и в прaвду worm

Скорей - это трой, через CreateRemoteThread устанавливает контакт с хозяином :)

Скорей - это трой
на трой как раз, это меньше всего похоже.. если вообще похоже..!

тогда на что же это похоже ?
Я вообще ничего не могу понять, - с чем связана эта сетевая активность ?

Кроме голандских и американский есть ещё немецкие и украинские.
Видимо и правда трой.

Если получится выцепить - вышли мне, плиз, на вивисекцию.

>>отресолви айпишники :)
>Это как ? Я не знаю как это сделать ?

Найди с помощью Яндекса найди Visual Whois 2004 и скачай.
Правда, она шароварная, но очень прикольная.
Вводишь IP, а она тебе - место на земном шаре, где его искать.
Очччень красиво и интуитивно понятно.

Спасбо за совет !

Block NetBIOS Traffic *NetBIOS 82.207.19.98 (resolving...) 4508 Inbound TCP
Block NetBIOS Traffic *NetBIOS 213.199.155.25 NETBIOS_NS Outbound UDP

А это что тоже показатель - у меня это висит постоянно.


Также зачем нужно DNS resolvin, и ICMP Echo request и replay? Включение и выключение этой фигни на работу компа не влияет и левые проги не запускаются.