Один комп (myComp) грузит и-нет. Самым бессовестным образом. Проверял старым Касперским, потом удалил его. AntiVir, Ad-Aware SE Personal, все что было найдено, было вычещено, но безрезультатно. В ветках реестра RUN – мусора не обранужил. Трояна-прокси из соседней ветки также не обнаружил. Соединения инициализируются через SVCHOST.EXE Соединения постоянно инициализируются, недолго живут и удаляются.

TCP myComp:1042 196.221.36.72.reverse.layeredtech.com:http
TCP myComp:1043 reverse41.reserver.ru:8080
TCP myComp:1044 reverse41.reserver.ru:8080
TCP myComp:1045 reverse41.reserver.ru:8080
TCP myComp:1046 reverse41.reserver.ru:8080
TCP myComp:1048 reverse41.reserver.ru:8080
TCP myComp:1049 reverse41.reserver.ru:8080
TCP myComp:1050 reverse41.reserver.ru:8080
TCP myComp:1051 reverse41.reserver.ru:8080
TCP myComp:1052 reverse41.reserver.ru:8080
TCP myComp:1055 reverse41.reserver.ru:8080
TCP myComp:1056 reverse41.reserver.ru:8080
TCP myComp:1057 reverse41.reserver.ru:8080
TCP myComp:1058 reverse41.reserver.ru:8080
TCP myComp:1059 wnpgmb02-esmtp.mts.net:smtp
TCP myComp:1060 mta-v8.mail.vip.mud.yahoo.com:smtp
TCP myComp:1062 smtp.secureserver.net:smtp
TCP myComp:1064 ff-mx-vip2.prodigy.net:smtp
TCP myComp:1065 91.150.80.3:smtp
TCP myComp:1067 69.39.100.26:smtp
TCP myComp:1071 207.230.136.65:smtp
TCP myComp:1073 mta-v8.mail.vip.mud.yahoo.com:smtp
TCP myComp:1074 72.3.135.151:smtp
TCP myComp:1075 reverse41.reserver.ru:8080
TCP myComp:1076 reverse41.reserver.ru:8080
TCP myComp:1077 reverse41.reserver.ru:8080
TCP myComp:1078 reverse41.reserver.ru:8080
TCP myComp:1079 reverse41.reserver.ru:8080
TCP myComp:1080 reverse41.reserver.ru:8080
TCP myComp:1084 65.24.7.13:smtp
TCP myComp:1086 mta-v8.mail.vip.mud.yahoo.com:smtp
TCP myComp:1087 reverse41.reserver.ru:8080
TCP myComp:1088 reverse41.reserver.ru:8080
SVCHOST.EXE:980 TCP myComp:1041 213.200.109.26:http

как отловить подлеца?

Barit Файерволлом отсечь (запретить соединение с инетом)

Barit Файерволлом отсечь (запретить соединение с инетом)

Это не решение проблемы по существу.
Коннект инициализируется похоже с плавающего порта, а родительский процесс не выявил, он обозначается как <non-existent> "не существующий?"

Barit
А как насчёт антивирусов??
Тот же Касперский 6 может конкретно регулировать сетевую активность кадждого процеса.

А как насчёт антивирусов??
Тот же Касперский 6 может конкретно регулировать сетевую активность кадждого процеса.

и это борьба со следствием а не причиной. Вот apostle советует:

tasklist /fi "PID eq 236"
и так по всем pid'ам. что подозрительно - смотреть подробно:
tasklist /svc /fi "PID eq 236" & tasklist /m /fi "PID eq 236"
не поможет так - processexplorer от руссиновича.

Пойду этим путем, может и найду гаденыша, но это уже завтра.

Barit
А ты лог чего привел? И почему в нем не видно направления соединнения? И каким экраном ты смотре активность, что "процесс не существует"? Если исходить из логики и того, что экран ловит нормально, то это входящие соединения. А тогда надо просто их запретить. Зачем тебе входящие? Или ты что-нить в пиринговом клиенте расшарил, дык тогда он наверное и грузит. пока сложно что-то сказать без нормального лога сетевого экрана

Такие вещи легче предотвратить чем лечить.
Правило номер один: фаервол должен разрешать лишь необходимый минимум типов трафика
Правило номер два: хосты должны иметь минимум доступа в интернет минуя прокси.
Правило номер три: хост доступный извне (даже за NAT, даже по порту, даже по Port Mapping), должен быть максимально изолирован от основной сети (вне домена, win-службы отключены, лучший вариант - отдельный сегмент сети с фильтрацией трафика )

Была такая шикарная книжка в свое время: "Создание узлов бастионного типа на основе Windows 2000"

вот два netstat -no с интервалом в три минуты:

TCP 127.0.0.1:1026 127.0.0.1:18350 ESTABLISHED 1644
TCP 127.0.0.1:18350 127.0.0.1:1026 ESTABLISHED 1752
TCP 192.168.1.3:1032 72.36.221.196:80 ESTABLISHED 236
TCP 192.168.1.3:1309 192.168.1.4:139 TIME_WAIT 0
TCP 192.168.1.3:1343 192.168.1.7:139 TIME_WAIT 0
TCP 192.168.1.3:1398 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1399 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1400 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1401 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1402 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1403 66.36.243.91:8080 SYN_SENT 236

TCP 127.0.0.1:1026 127.0.0.1:18350 ESTABLISHED 1644
TCP 127.0.0.1:18350 127.0.0.1:1026 ESTABLISHED 1752
TCP 192.168.1.3:1032 72.36.221.196:80 ESTABLISHED 236
TCP 192.168.1.3:1684 192.168.1.7:139 TIME_WAIT 0
TCP 192.168.1.3:1960 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1961 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1962 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1963 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1964 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1965 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1966 66.36.243.91:8080 SYN_SENT 236
TCP 192.168.1.3:1967 66.36.243.91:8080 SYN_SENT 236

Да, легче было предотвратить.
В дополнение: ОС WinXP SP1, обновления были отключены, файрвола небыло, выходили под "администратором", сидящий за ним человек и с Вордом толком незнаком. Подключение через модем ADSL, в нем NAT, файвола нет. Прокси нет.
Вполне предсказуемый результат.
Переустановка до SP2 результата не дала. Чудес не бывает.

Прибил подлеца!!!

Но сначала мои слова благодарности http://rku.xell.ru/ за их утилиту предназначенную для поиска руткитов.
Большой им памятник шоколадный.

Итак с помощью вышеуказанной утилиты в закладке "Детектор скрытых процессов" снимаем Protector.exe, утилита выдает крутое предупреждение, что можем крахнуть систему. Смело продолжаем.
Следующим этапом в закладке "Детектор и снятие перехватов" снимаем все, что касается Ntio256.* Кстати они помечены как "перехватчики", что облегчает поиск.
С помощью утилиты сделана главная работа, она больше не нужна, дальше рутина.
Теперь становятся доступными в обычном поиске файлы: ntio256.sys и protector.exe Убиваем.
Запускаем редактор реестра, ищем ветки HKLM\System\ControlSet*\services\ntio256 * - потому как для каждого пользователя своя ветка, а в моем случае он прописался всем. УБИВАЕМ.

Перегружаем компьютер. Все.