Который день мне фаерволл выдает запрос, что svchost.exe просится с запросами к днс-серверу. "У меня он добавлен, странно" - думаю я, - "а может настройки слетают, было ведь". И ставил "allow all for this..". Сейчас решил запретить. Через 30 секунд он ломанулся на IP 59.36.101.9 под какими-то левыми портами (26хх , 14хх). В гугле по этому IP куча логов о блоках. В памяти ничего лишнего не висит, каспер молчит. А эта гадость бьется теперь регулярно. Как вычислить, кто от лица svchost.exe ломится в инет? P.S. IP принадлежит китаю и на нем даже веб-сервер стоит, кидая на 404.
возмоно атака MSSQL.Worm'ом, регулярно и на меня подобное идёт, но касперский всё блокирует. а svchost некоторые сервисы можно обубить Windows+R -> Services.msc -> OK, напротив каждого сервиса есть описание, зачем он и т.д. Может поможет.