Показано с 1 по 13 из 13.

alg.exe лезет на левый IP

  1. #1
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    6
    Вес репутации
    52

    alg.exe лезет на левый IP

    Файерволл говорит мне что alg.exe лезет на некий IP:

    Remote Point: 91.204.149.62 , port ftp [21]
    Protocol: [6] TCP


    1. Подскажите как определить что это не троян ?
    2. Как узнать кто активизировал alg.exe ?
    3. Можно ли по IP, на который лезет прога, выяснить что активничает некий вирус, и какой

    Зловредных процессов ни одна прога не показывает.
    Антивирусники все молчат.
    anvir
    avz
    HiJackThis
    Все показывают, что все хорошо.


    alg.exe проверил - валидный

    Мне интересны ответы, как по конкретному IP-шнику/вирусу
    так и по методологии определения зловредности.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    10.12.2009
    Адрес
    Украина
    Сообщений
    15
    Вес репутации
    53
    Насчет IP;
    Using server whois.ripe.net.
    Query string: "-V Md4.7 91.204.149.62"

    inetnum: 91.204.148.0 - 91.204.151.255
    netname: YourNet
    descr: Your Net
    country: RU
    org: ORG-YN4-RIPE
    admin-c: DK2630-RIPE
    tech-c: DK2630-RIPE
    status: ASSIGNED PI
    mnt-by: RIPE-NCC-HM-PI-MNT
    mnt-lower: RIPE-NCC-HM-PI-MNT
    mnt-by: YOURNET-MNT
    mnt-routes: YOURNET-MNT
    mnt-domains: YOURNET-MNT
    source: RIPE # Filtered

    organisation: ORG-YN4-RIPE
    org-name: Your Net
    org-type: OTHER
    address: Malaja Buharestskaja, 3
    address: Saint-Petersburg
    address: 192288, Russia
    e-mail: [email protected]
    mnt-ref: SEVEREN-MNT
    mnt-by: YOURNET-MNT
    source: RIPE # Filtered

    person: Dmitry Kozmenko
    address: Malaja Buharestskaja, 3
    address: Saint-Petersburg
    address: 192288, Russia
    phone: +7 812 716-66-22
    phone: +7 911 765-17-20
    e-mail: [email protected]
    e-mail: [email protected]
    nic-hdl: DK2630-RIPE
    mnt-by: YOURNET-MNT
    source: RIPE # Filtered

    route: 91.204.148.0/22
    descr: Your Net
    descr: yournet
    origin: AS47459
    mnt-by: YOURNET-MNT
    source: RIPE # Filtered

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227
    Вам надо проверится по правилам в разделе "Помогите"
    Информация об IP-адресе 91.204.149.62

    по данным RIPE:
    % This is the Ripe-Mirror Whois server.

    % Note: this output has been filtered.

    % Information related to '91.204.148.0 - 91.204.151.255'

    inetnum: 91.204.148.0 - 91.204.151.255
    netname: YourNet
    descr: Your Net
    country: RU
    org: ORG-YN4-RIPE
    admin-c: DK2630-RIPE
    tech-c: DK2630-RIPE
    status: ASSIGNED PI
    mnt-by: RIPE-NCC-HM-PI-MNT
    mnt-lower: RIPE-NCC-HM-PI-MNT
    mnt-by: YOURNET-MNT
    mnt-routes: YOURNET-MNT
    mnt-domains: YOURNET-MNT
    source: RIPE # Filtered

    organisation: ORG-YN4-RIPE
    org-name: Your Net
    org-type: OTHER
    address: Malaja Buharestskaja, 3
    address: Saint-Petersburg
    address: 192288, Russia
    e-mail: [email protected]
    mnt-ref: SEVEREN-MNT
    mnt-by: YOURNET-MNT
    source: RIPE # Filtered

    person: Dmitry Kozmenko
    address: Malaja Buharestskaja, 3
    address: Saint-Petersburg
    address: 192288, Russia
    phone: +7 812 716-66-22
    phone: +7 911 765-17-20
    e-mail: [email protected]
    e-mail: [email protected]
    nic-hdl: DK2630-RIPE
    mnt-by: YOURNET-MNT
    source: RIPE # Filtered

    % Information related to '91.204.148.0/22AS47459'

    route: 91.204.148.0/22
    descr: Your Net
    descr: yournet
    origin: AS47459
    mnt-by: YOURNET-MNT
    source: RIPE # Filtered

  5. #4
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    6
    Вес репутации
    52
    Вопрос остался:

    Можно ли по IP, на который лезет прога, выяснить что активничает некий вирус, и какой

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В отдельных случаях можно предположить что это, а в общем - нет.

  7. #6
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    6
    Вес репутации
    52
    Тем не менее что делать в этом конкретном случае ?

  8. #7
    Junior Member Репутация
    Регистрация
    08.11.2009
    Сообщений
    64
    Вес репутации
    53
    Цитата Сообщение от Torvic99 Посмотреть сообщение
    Вам надо проверится по правилам в разделе "Помогите"
    Вам уже сказали что делать в Вашем конкретном случае

  9. #8
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    6
    Вес репутации
    52
    Ну тоесть, я правильно понимаю, что искать процесс, который активировал alg.exe бесперспективно ?

    Этот путь не приводит к интересующему меня процессу ?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227
    Цитата Сообщение от lesa111 Посмотреть сообщение
    Этот путь не приводит к интересующему меня процессу ?
    Пока вы ищете путь раза 2-3 можно было прочитать правила и сделать логи. Может и увидели бы кто через этот Application Layer Gateway ломится в инет.
    alg.exe – служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера. Также служба часто используется сторонними программами, например межсетевыми экранами.
    Файл Alg.exе всегда запускается от имени LOCAL SERVICE. Процесс, запущенный от имени другого пользователя может означать о наличии злонамеренных программ на вашем комьпютере.

    Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь. Например:

    * W32.Tufik (%SystemRoot%\alg.exe) – этот вирус автоматически загружает и устанавливает другие злонамеренные программы. Он также заражает другие exe файлы, что может потребовать восстановление Windows после удаления вируса.

    Обычно только один процесс с именем alg.exe запущен на системе. Наличие множества запущенных копий свидетельствует о заражении комьютера.
    Возможные проблемы с alg.exe:

    * Межсетевой экран сообщает о том, что alg.exe пытается подключится к сети интернет. Такое поведение возможно когда одновременно на компьютере запущен сторонний межсетевой экран и Windows Firewall. В этом случае Windows Firewall необходимо отключить.
    * Alg.exe слушает на 1025 TCP порту – это нормальное поведение.

  11. #10
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    6
    Вес репутации
    52
    Уважаемые Гуру !!!
    Я ,конечно, преследую цель выловить вирус, но это для меня не главное.

    Конечно я могу пойти "СТАНДАРТНЫМ ПУТЕМ" и поймать вирус,используя
    стандартные технологии...

    Но,мне кажется, что здесь есть возможность оптимизации процесса поиска.


    Предположим существует злобный вирус, который используя alg.exe
    сливает интересную ему инфо на свой ftp сайт.
    (Гипотеза не лишенная смысла в моем случае, не правда ли ?)

    Как здравомыслящий человек, я рассуждаю так :

    Вот факт вылазки шпиона! Вот я его запеленговал!
    Вроде все на лапе...
    Что мне мешает его поймать за руку ?
    Есть какие то принципиальные ограничения ?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Только скорость света, бритва Оккама и принцип причинности. Ловите.

  13. #12
    Junior Member Репутация
    Регистрация
    07.04.2010
    Сообщений
    6
    Вес репутации
    52
    Цитата Сообщение от pig Посмотреть сообщение
    Только скорость света, бритва Оккама и принцип причинности. Ловите.
    и поймал !!!

    Решение найдено
    Рекомендую:

    Port Reporter от Microsoft

    Оказалось это uTorrent лезет по ftp куда то
    при этом всегда активизируется alg.exe

  14. #13
    Junior Member Репутация
    Регистрация
    10.04.2010
    Сообщений
    10
    Вес репутации
    52
    Цитата Сообщение от lesa111 Посмотреть сообщение
    Port Reporter от Microsoft
    Большое спасибо, действительно полезная утилита. Правда, оффсайт майкрософт не открылся, пришлось с секуритилаб качать.
    [offtopic]
    С тех пор, как пришел на форум, мой "багаж" полезных программ пополнился, чуть ли не вдвое
    [/offtopic]

Похожие темы

  1. левый трафик?..
    От SeGaMD3 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 30.03.2010, 16:55
  2. Левый трафик
    От DZon в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 03.12.2009, 15:12
  3. Левый svchost.exe
    От Veselyi_Rodger в разделе Помогите!
    Ответов: 34
    Последнее сообщение: 22.02.2009, 06:56
  4. Левый taskmgr
    От FMC в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 22.02.2009, 01:51
  5. Левый трафик.
    От choogoon в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.04.2008, 09:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00659 seconds with 19 queries