Неизвестный процесс дублирует все сетевые соединения

[Arseny]

Здравствуйте.

Столкнулся с такой проблемой: неизвестный процесс создаёт сетевые соединения, соответствующие текущим, созданным легитимными процессами. netstat тоже не может получить сведения о процессе, хотя сами соединения видит. Что это может быть? Антивирус или вредоносное ПО? Установлен триальный Kaspersky Plus

CollectionLog-2026.01.27-10.40.zip

[Sandor]

Здравствуйте!

 

Программу Throne ставили самостоятельно?

Деинсталлируйте её через Параметры - Приложения и проверьте (сообщите) будут ли изменения в системе.

[Arseny]

22 минуты назад, Sandor сказал:

Программу Throne ставили самостоятельно?

 

Да. Это опенсоурсный клиент для xRay. После удаления ничего не изменилось. В принципе, бьюсь уже третьи сутки и у меня закралось стойкое подозрение, что это что-то загружается раньше системы и не даёт приложениям с правами администратора себя обнаружить. Я уже и uVS применял всяко, но ничего подозрительного не увидел.

Изменено 27 января пользователем Arseny

[Sandor]

Образ автозапуска uVS сохранился? Если да, прикрепите к следующему сообщению. Если нет, соберите заново.

[Arseny]

DESKTOP-K2NPIJS_2026-01-27_12-10-10_v5.0v x64.7z

[safety]

А фаерволл от Касперского видит эти подключения? разрешает или блокирует?

[Arseny]

Фаерволл от Касперского не видит эти подключения, к сожалению. Ощущение такое, будто этот процесс дублирует легитимные соединения.

[safety]

А в чем вы смотрите данные сетевые подключения?

в uVS их тоже не видно среди приложений, который имеют сетевую активность.

По диапозону используемых портов ближе всего Core, (C:\USERS\KOTYA\APPDATA\ROAMING\THRONE\CORE.EXE)

но пересечений с неизвестным процессов не увидел по портам.

 

Изменено 27 января пользователем safety

[Arseny]

Смотрю программой CurrPorts и netstat. Вот что выдаёт netstat из-под администратора. Core.exe - это ядро Throne. А Throne.exe - графическая оболочка. Процессы легитимные. Я и через Вирустотал их проверял. Короче, чертовщина какая-то. Я грешу на механизмы защиты Касперского, может быть они дают такой эффект, а свой процесс скрывают, чтобы его не прибили вирусы. Но кто знает.

 

Изменено 27 января пользователем Arseny

[safety]

А если временно отключить антивирусную защиту, картина сетевых подключений не меняется?

+

Добавьте так же логи FRST, может там будет полезная для анализа информация.

Изменено 27 января пользователем safety

[Arseny]

Не-а, не меняется.

[safety]

Добавьте так же логи FRST, может там будет полезная для анализа информация.

[Arseny]

Addition.txt FRST.txt

[safety]

Не может это быть реакцией на прокси в FF?

FF NetworkProxy: Mozilla\Firefox\Profiles\um5d5f40.default-release -> socks", "127.0.0.1"

 

[Arseny]

При закрытом Файрфоксе всё то же самое. По идее - Файрфокс ходит через локальный прокси, который потом стучится в интернет (тот самый core.exe)