Добрый день!
В последнее время с виндой что то нетак. При копировании или открытии файлов
появляется какойто процесс и пытается сконнектится с компом 192.168.30.15 сначала на порт 445 затем 80 и вконце на 139. Если тот комп выключен explorer тормозит где-то на 15 секунд. В это время netstat -n:

TCP 192.168.30.4:1442 192.168.30.15:445 SYN_SENT

затем пытается на 80 порт:
TCP 192.168.30.4:1471 192.168.30.15:80 SYN_SENT


А если комп 30.15 включен то пишет:
TCP 192.168.30.4:1442 192.168.30.15:445 ESTABLISHED


В TCPView пишет что это процесс System:4. На том компе 30.15 тоже смотрел процессы и ничего подозрительного не нашел. Оба компа прогонял антивирами и разными antispy'ами. Никаких вирусов и троянов нету.
Что же это может быть?
__________________________
Do the difficult things while they are easy and do the great things while they are small. A journey of a thousand miles must begin with a single step.

Green2
может снифер запустить и он покажет все что происходит с сетью?
--



Posted via ActualForum NNTP Server 1.3

Поставил CommView. Оказывается каждый раз кодга я что то копирую или вырезаю либо иногда даже при правом клике на любой объект моя винда чтото посылает этому 75-компу и именно на 445 порт.
Весь трафик приводить небуду но вот самое интересное:

Сначала посылается что то большое:

0x0010 05 8A 59 D8 40 00 80 06-FF E1 C0 A8 0D 18 C0 A8 .ЉYШ@.Ђ.ябАЁ..АЁ
0x0020 0D 4B 06 10 01 BD 6C A7-42 D2 DD AB 42 DF 50 18 .K...Ѕl§BТЭ«BЯP.
0x0030 FF 4F A1 30 00 00 00 00-05 5E FF 53 4D 42 73 00 яOЎ0.....^яSMBs.
0x0040 00 00 00 18 07 C8 00 00-00 00 00 00 00 00 00 00 .....И..........
0x0050 00 00 00 00 FF FE 00 00-10 00 0C FF 00 5E 05 04 ....яю.....я.^..
0x0060 11 0A 00 00 00 00 00 00-00 BC 04 00 00 00 00 D4 .........ј.....Ф
0x0070 00 00 A0 23 05 60 82 04-B8 06 06 2B 06 01 05 05 .. #.`‚.ё..+....
0x0080 02 A0 82 04 AC 30 82 04-A8 A0 24 30 22 06 09 2A . ‚.¬0‚.Ё $0"..*
0x0090 86 48 82 F7 12 01 02 02-06 09 2A 86 48 86 F7 12 †H‚ч......*†H†ч.
0x00A0 01 02 02 06 0A 2B 06 01-04 01 82 37 02 02 0A A2 .....+....‚7...ў
0x00B0 82 04 7E 04 82 04 7A 60-82 04 76 06 09 2A 86 48 ‚.~.‚.z`‚.v..*†H
0x00C0 86 F7 12 01 02 02 01 00-6E 82 04 65 30 82 04 61 †ч......n‚.e0‚.a
0x00D0 A0 03 02 01 05 A1 03 02-01 0E A2 07 03 05 00 20  ....Ў....ў....
0x00E0 00 00 00 A3 82 03 92 61-82 03 8E 30 82 03 8A A0 ...Ј‚.’a‚.Ћ0‚.Љ 
0x00F0 03 02 01 05 A1 08 1B 06-52 53 45 2E 55 5A A2 21 ....Ў...RSE.UZў!
0x0100 30 1F A0 03 02 01 02 A1-18 30 16 1B 04 63 69 66 0. ....Ў.0...cif
0x0110 73 1B 0E 61 6E 61 6C 69-74 35 2E 72 73 65 2E 75 s..analit5.rse.u
0x0120 7A A3 82 03 54 30 82 03-50 A0 03 02 01 17 A1 03 zЈ‚.T0‚.P ....Ў.
0x0130 02 01 09 A2 82 03 42 04-82 03 3E C4 E8 C0 F9 18 ...ў‚.B.‚.>ДиАщ.
0x0140 F3 51 C9 0E E1 99 4A 3B-01 53 E6 39 CE 89 2D 12 уQЙ.б™J;.Sж9О‰-.
0x0150 85 E2 82 A9 88 54 3E E2-C3 B7 67 F8 DD F0 1B 5C …в‚©€T>вГ·gшЭр.\
0x0160 C9 8E 40 B7 0C 80 F3 61-6A 7A A7 A9 CE FE FA FD ЙЋ@·.Ђуajz§©Оюъэ
0x0170 D5 FB 46 EF 40 2A C6 EE-27 39 03 54 B2 9F 05 28 ХыFп@*Жо'9.TІџ.(
0x0180 96 0F E8 91 C3 4C 68 5F-28 B5 D6 E5 DF 4F C0 CC –.и‘ГLh_(µЦеЯOАМ
0x0190 9B 90 BC BC 8C 37 D7 06-E4 9E CE 5C A4 B7 FD 1E ›ђјјЊ7Ч.дћО\¤·э.
0x01A0 07 95 42 91 93 17 7E 24-76 6F 6A D2 0B CE 1F 15 .•B‘“.~$vojТ.О..
0x01B0 32 DE 32 51 46 D1 94 87-53 D5 15 4F 35 D3 A6 E8 2Ю2QFС”‡SХ.O5У¦и
0x01C0 5F 1F 47 34 7B 17 18 BF-47 CA EB 50 92 1B F9 7D _.G4{..їGКлP’.щ}
0x01D0 19 1F E0 31 87 86 35 97-31 11 E6 6C 63 47 8D BF ..а1‡†5—1.жlcGЌї
0x01E0 2E C0 0E B1 BD 3B 44 B8-DB 18 A3 3C 3C 48 FE 58 .А.±Ѕ;DёЫ.Ј<<HюX
0x01F0 59 67 81 CC 99 DB FE B0-0A D9 E1 24 9A 23 6E 75 YgЃМ™Ыю°.Щб$љ#nu
0x0200 5A 00 D7 8A 25 4E 5E 92-C0 4B C9 D1 E5 22 03 B2 Z.ЧЉ%N^’АKЙСе".І
0x0210 DD F6 34 DA DD F7 F1 14-5E 7F DA 6D D2 E7 46 D6 Эц4ЪЭчс.^ЪmТзFЦ
0x0220 F9 DA EB 3D 1A 72 B2 8E-3E 75 F5 7B 57 45 55 68 щЪл=.rІЋ>uх{WEUh
0x0230 9B 00 60 15 E8 D2 84 B2-F9 68 69 B9 A6 19 C1 EE ›.`.иТ„Іщhi№¦.Бо
0x0240 12 7D 19 E7 5C 66 04 C6-A9 4E 5C 76 8E 29 53 BE .}.з\f.Ж©N\vЋ)Sѕ
0x0250 C5 AC D8 09 8C 41 13 DC-5F F4 EC 84 CC 6E 30 35 Е¬Ш.ЊA.Ь_фм„Мn05
0x0260 5F 11 E5 FB 7F 0B F5 67-4B 1D EA AB 2D 9E D3 3E _.еы.хgK.к«-ћУ>
0x0270 79 4F 91 BC 40 9F 13 39-A9 57 A4 5F 4A 92 51 30 yO‘ј@џ.9©W¤_J’Q0
0x0280 DB D6 32 26 DC 7F 9C 40-64 0D 34 7B F8 E9 B0 73 ЫЦ2&Ьњ@d.4{шй°s
0x0290 E3 E6 77 A1 84 17 4A 78-22 07 C5 6E 52 0C 61 61 гжwЎ„.Jx".ЕnR.aa
0x02A0 31 EA 71 0F B9 9C AC 4E-94 1B 51 91 B5 36 F3 5C 1кq.№њ¬N”.Q‘µ6у\
0x02B0 38 B1 0F 78 88 79 2F 92-24 70 71 F1 28 74 78 B0 8±.x€y/’$pqс(tx°
0x02C0 DC E0 59 6C 13 4E 74 68-76 A8 74 CD 45 31 15 B1 ЬаYl.NthvЁtНE1.±
0x02D0 49 67 CF 3E EE 37 BF 82-CF 2C 96 23 74 D5 16 43 IgП>о7ї‚П,–#tХ.C
0x02E0 BE 40 0D 68 D3 61 8D 64-04 1B 75 2D 45 3C CF 6D ѕ@.hУaЌd..u-E<Пm
0x02F0 17 92 8C F0 A5 5A 15 C4-D8 02 85 39 E7 E7 D1 E8 .’ЊрҐZ.ДШ.…9ззСи
0x0300 61 AD 3C 65 3F 8C DD D3-CC 30 7F 31 EF BF 08 42 a­<e?ЊЭУМ01пї.B
0x0310 23 C4 35 9F 77 C0 0B F4-DE 32 6F 42 34 B7 07 7E #Д5џwА.фЮ2oB4·.~
0x0320 9E 23 53 BA 1B 20 9A B6-84 AE 93 C9 08 39 92 A7 ћ#Sє. љ¶„®“Й.9’§
0x0330 73 44 CC 58 C5 54 95 FE-2B 11 59 E9 F7 95 F0 D2 sDМXЕT•ю+.Yйч•рТ
0x0340 48 11 A1 CD 45 A3 09 93-F0 33 61 B2 FA 78 F9 59 H.ЎНEЈ.“р3aІъxщY
0x0350 51 AD FC B2 44 5D 2D 1D-48 B7 AC 3A 34 DA 1A EA Q­ьІD]-.H·¬:4Ъ.к
0x0360 8E D8 1D F1 7C 47 02 77-7E 8F 35 AA 74 88 82 48 ЋШ.с|G.w~Џ5Єt€‚H
0x0370 A3 D4 55 4F 3E 16 C8 BA-A8 7D FF 95 2F 8A D6 61 ЈФUO>.ИєЁ}я•/ЉЦa
0x0380 E2 DE E2 A3 92 5D A7 B8-5F 5A A6 DC 5C F6 46 07 вЮвЈ’]§ё_Z¦Ь\цF.
0x0390 BE B4 73 4D BF BC 94 48-19 B5 89 85 41 54 F9 42 ѕґsMїј”H.µ‰…ATщB
0x03A0 D7 56 08 53 34 F2 8B 69-8C 04 6C 7E C9 66 1F A3 ЧV.S4т‹iЊ.l~Йf.Ј
0x03B0 16 06 8B FC E5 C8 80 B6-A9 49 EB 45 91 46 8C DB ..‹ьеИЂ¶©IлE‘FЊЫ
0x03C0 37 9F D3 B0 35 91 E1 8D-70 C4 32 C5 BA 39 4A C8 7џУ°5‘бЌpД2Еє9JИ
0x03D0 32 0A B1 19 1C 83 32 20-02 FE 69 14 4C F1 7C 15 2.±..ѓ2 .юi.Lс|.
0x03E0 A3 B2 5B 98 CE 4C FA 5A-1B C3 C9 7D 2D B9 3B 7B ЈІ[˜ОLъZ.ГЙ}-№;{
0x03F0 52 5D 1B B0 5E A7 15 55-EE 19 7C 1A C8 A8 E9 19 R].°^§.Uо.|.ИЁй.
0x0400 2E DA 8C FB 11 20 03 4D-86 E8 53 FA 11 34 69 EA .ЪЊы. .M†иSъ.4iк
0x0410 12 DE 3B 44 89 F0 4B 1F-AA 20 2B 89 92 EF B2 81 .Ю;D‰рK.Є +‰’пІЃ
0x0420 E9 C1 AE 22 B8 4F 3E 99-7A 6B 3D 92 B5 9D A3 24 йБ®"ёO>™zk=’µќЈ$
0x0430 8F DA 0F 7A B6 F6 92 64-F6 0A D5 2D 5A B6 C5 8C ЏЪ.z¶ц’dц.Х-Z¶ЕЊ
0x0440 CB 1A A6 CB 10 5D 96 E3-7B 79 E6 A6 67 21 46 35 Л.¦Л.]–г{yж¦g!F5
0x0450 33 84 36 A1 E7 59 C1 21-21 C5 9D 4B 6D 5D 71 52 3„6ЎзYБ!!ЕќKm]qR
0x0460 B9 93 FD DE E2 F7 3A 2B-19 FD 65 2E 6C 08 A7 70 №“эЮвч:+.эe.l.§p
0x0470 EF CD 5D 11 7D 09 5A 27-61 A4 81 B5 30 81 B2 A0 пН].}.Z'a¤Ѓµ0ЃІ 
0x0480 03 02 01 17 A2 81 AA 04-81 A7 73 16 2D 36 5C 0A ....ўЃЄ.Ѓ§s.-6\.
0x0490 8C FC 2F 8F DD C5 07 D2-B1 0E C6 33 3D ED CC 7B Њь/ЏЭЕ.Т±.Ж3=нМ{
0x04A0 69 11 9C 2B 98 31 C8 D7-5B 5F F1 DB 67 C7 F1 5E i.њ+˜1ИЧ[_сЫgЗс^
0x04B0 15 4C AF EB 68 44 1C 38-3F 7B 50 CB E9 5C F4 67 .LЇлhD.8?{PЛй\фg
0x04C0 1A 15 E3 E7 42 BB FC 8D-23 09 0C 9B 30 07 78 BE ..гзB»ьЌ#..›0.xѕ
0x04D0 E7 34 11 D7 3B 5D 60 3E-85 FE C3 00 72 45 F4 39 з4.Ч;]`>…юГ.rEф9
0x04E0 6B 2B F7 90 AC 77 45 A7-12 C1 3B A6 20 99 BC A0 k+чђ¬wE§.Б;¦ ™ј 
0x04F0 81 A2 E2 62 2F 88 0E 63-65 80 B8 45 75 BE C6 D8 Ѓўвb/€.ceЂёEuѕЖШ
0x0500 EE 48 39 6C 0A 9C 3C 2D-48 11 4A 84 0E 5C 09 EF оH9l.њ<-H.J„.\.п
0x0510 8B 61 36 FC 8A 2E A0 A3-C4 D9 23 F9 AB F7 92 BD ‹a6ьЉ. ЈДЩ#щ«ч’Ѕ
0x0520 2A 8B 01 72 75 CA CF 41-36 04 21 5B B8 AE 06 F4 *‹.ruКПA6.![ё®.ф
0x0530 50 00 57 00 69 00 6E 00-64 00 6F 00 77 00 73 00 P.W.i.n.d.o.w.s.
0x0540 20 00 32 00 30 00 30 00-32 00 20 00 53 00 65 00 .2.0.0.2. .S.e.
0x0550 72 00 76 00 69 00 63 00-65 00 20 00 50 00 61 00 r.v.i.c.e. .P.a.
0x0560 63 00 6B 00 20 00 32 00-20 00 32 00 36 00 30 00 c.k. .2. .2.6.0.
0x0570 30 00 00 00 57 00 69 00-6E 00 64 00 6F 00 77 00 0...W.i.n.d.o.w.
0x0580 73 00 20 00 32 00 30 00-30 00 32 00 20 00 35 00 s. .2.0.0.2. .5.
0x0590 2E 00 31 00 00 00 00 00- ..1.....

Затем запрашивается шара на диск d$ (DEV5 это имя той машины 30.15):
..тQ`Є..тQ`i..E.
0x0010 00 78 59 D9 40 00 80 06-04 F3 C0 A8 0D 18 C0 A8 .xYЩ@.Ђ..уАЁ..АЁ
0x0020 0D 4B 06 10 01 BD 6C A7-48 34 DD AB 43 FA 50 18 .K...Ѕl§H4Э«CъP.
0x0030 FE 34 9C 1E 00 00 00 00-00 4C FF 53 4D 42 75 00 ю4њ......LяSMBu.
0x0040 00 00 00 18 07 C8 00 00-00 00 00 00 00 00 00 00 .....И..........
0x0050 00 00 00 00 FF FE 00 08-20 00 04 FF 00 4C 00 08 ....яю.. ..я.L..
0x0060 00 01 00 21 00 00 5C 00-5C 00 41 00 4E 00 41 00 ...!..\.\.D.E.V.
0x0070 4C 00 49 00 54 00 35 00-5C 00 44 00 24 00 00 00 5.\.D.$...
0x0080 3F 3F 3F 3F 3F 00 ?????.

Тот отвечает (понел тока NTFS):
..тQ`i..тQ`Є..E.
0x0010 00 6A 7C 41 40 00 80 06-E2 98 C0 A8 0D 4B C0 A8 .j|A@.Ђ.в˜АЁ.KАЁ
0x0020 0D 18 01 BD 06 10 DD AB-43 FA 6C A7 48 84 50 18 ...Ѕ..Э«Cъl§H„P.
0x0030 FF AF C9 B8 00 00 00 00-00 3E FF 53 4D 42 75 00 яЇЙё.....>яSMBu.
0x0040 00 00 00 98 07 C8 00 00-00 00 00 00 00 00 00 00 ...˜.И..........
0x0050 00 00 00 08 FF FE 00 08-20 00 07 FF 00 3E 00 01 ....яю.. ..я.>..
0x0060 00 FF 01 00 00 FF 01 00-00 0D 00 41 3A 00 4E 00 .я...я.....A:.N.
0x0070 54 00 46 00 53 00 00 00- T.F.S...

И самое интересное тот мне посылает путь к simgirl.exe который находится на шаре _BackDoor:
0x0080 00 00 00 00 5C 00 5F 00-42 00 61 00 63 00 6B 00 ....\._.B.a.c.k.
0x0090 44 00 6F 00 6F 00 72 00-5C 00 20 04 30 04 41 04 D.o.o.r.
0x00B0 5C 00 73 00 69 00 6D 00-67 00 69 00 72 00 6C 00 \.s.i.m.g.i.r.l.
0x00C0 2E 00 65 00 78 00 65 00-00 00 ..e.x.e...

Вобщем я переставил эту винду и все стало нормально.
____________________________________
Do the difficult things while they are easy and do the great things while they are small. A journey of a thousand miles must begin with a single step.