Показано с 1 по 15 из 15.

Подозрение на СпамБота (заявка № 17699)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59

    Exclamation Подозрение на СпамБота

    Провайдер уверяет меня что я спамлю. Да я и сам вижу стабильный исходящий трафик. Если выкидываю из памяти "svchosts.exe -k netsvcs" то вместе с ним и убивается зловредный трафик. Понимаю что многие используют этот процесс в мирных целях, но вычленить бяку не могу, не хватает понимания устройства винды

    Подскажите где копать.

    Первый 14 пунктов правил изучил, действия описанные в них совершил (правда антивирус NOD32 до конца не выкидывал при проверке, только отключил, вроде так было рекомендовано).

    Логи прилагаю.

    P.S. Видимо важный симптом: при выполнении пункта 9 (перезагрузка после запуска AVZ в первый раз, с лечением) виндоус вылетала после входа в систему (то есть после меню выбора пользователя). Вылетала наглухо ничего не спросив, два раза, с третьей попытки вошёл.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ничего подозрительного в логах не видно...
    Только один вопрос:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.138.53.197:3128
    Это сами прописывали?
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bratez Посмотреть сообщение
    Только один вопрос:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 82.138.53.197:3128
    Это сами прописывали?
    Угу
    inetnum: 82.138.53.192 - 82.138.53.223
    netname: COMCOR-Komitetfizicheskoykuljturyisporta
    descr: Network for Komitet fizicheskoy kuljtury i sporta
    country: RU
    admin-c: GYA4-RIPE
    tech-c: GYA4-RIPE
    status: ASSIGNED PA
    notify: [email protected]
    mnt-by: AS8732-MNT
    source: RIPE
    так что м.б. спам с другого компа идет

  5. #4
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    Не могу точно ответить. Не первый пользователь на этом компьютере (офисная машина досталась по наследству). Возможно что сам. Эта настройка в IE вроде бы не активна. По крайней мере галочка "использовать прокси" не стоит. Да и не пользуюсь я IE, а пользуюсь Мозиллой. На всякий случай стёр.

    Как ещё можно поглубже покопать систему?
    Возможно ли посмотреть как-то происхождение исходящего трафика?

  6. #5
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    Обновлённый лог.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от hyppopotam Посмотреть сообщение
    Возможно ли посмотреть как-то происхождение исходящего трафика?
    установите файрволл с протоколированием соединений или что-нибудь типа Wireshark

  8. #7
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    установите файрволл с протоколированием соединений или что-нибудь типа Wireshark
    Поставил Wireshark.
    Извините что не дождался просьбы показать результаты.
    Сам пока не разобрался с этим файрволом. Посмотрите пожалуйста его лог и скажите мне нормальный ли он? (формат .pcap предложили по умолчанию)

    P.S. Уже начинаю думать что может я просто параноик и перебдел? А трафик у меня нормальный? Потому что вижу только обращения к роутеру и в локалке
    P.P.S. Пока писал лог ничего не делал. ICQ погасил, браузерами не пользовался.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от hyppopotam Посмотреть сообщение
    Сам пока не разобрался с этим файрволом.
    а это и не файрволл вообще . но и я ничего подозрительного не обнаружил. Как я понял - в время записи протокола Вы не забирали и не отправляли почту. Попробуйте сделать и то и другое и посмотрите - с чем соединяется почтовая программа (соединения по POP и SMTP - протоколам).

  10. #9
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    а это и не файрволл вообще .
    Простите ламера. Староват уже вникать. Активно пользуюсь ПК с 1988 года. БК, МС0585, XT, AT... ФОДОС, RT-11, MS-DOS... Win3.11 ещё мог понимать, но с появлением Win-95 выбился из колеи и теперь чувствую себя весьма неуютно. В сетях вообще туго соображаю Вы мне пальцем покажите где копать, я раскопаю.

    P.S. Книжку "Безопасный интернет..." скачал. Ставлю на смартфон читалку PDF и в ближайшие дни её прочту. Буду навёрстывать упущенное за 10 лет

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от hyppopotam Посмотреть сообщение
    Староват уже вникать.
    Так и я уже не мальчик. И тоже с ДОСа стартовал.
    Вы мне пальцем покажите где копать, я раскопаю.
    Вы насчет файрволла? Так это в общем и целом фильтр, который пакеты данных в сети проверяет. Тут почитать можно. Да и в книжке об этом написано.

  12. #11
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    Кстати Wireshark показывает три устройства в машине.
    Помимо сетевой карточки есть:
    Adapter for generic dualup and VPN capture.
    MS Tunnel Interface Driver.
    Первый совсем не активен, второй раз в четыре секунды пакет выдаёт, но вроде бы они совсем ни при чём.

    Вы насчет файрволла? Так это в общем и целом фильтр, который пакеты данных в сети проверяет. Тут почитать можно. Да и в книжке об этом написано.
    Нет я именно насчёт WireShark'а. Как с помощью него найти кем именно был создан тот или иной пакет вызывающий у меня подозрение? Меня, например, очень смущает частая пересылка HTTP/XML. Как узнать какая софтина это делает, чтобы понять для чего.

    Что-то у меня с почтой странное. Сменил пароль (чтобы показать лог, а то он там не шифруется) с новым паролем через web-интерфейс (mail.ru) почта доступна. А через TheBat! выдаёт ошибку. Хотя пароль правильный (на тот момент установил пароль "virusinfo"). То ли mail.ru колбасит, то ли я чего-то не понимаю.

    В любом случае лог даю (извините за траффик, чуть по-длиннее лог). Может вы там что-то видите.

    P.S. У меня в состоянии покоя траффик идёт. Вот это меня беспокоит. Может какая софтина обновления смотрит. Может устройства опрашиваются. А может спам. Не знаю. Но знаю что мой IP в блек-лист попал как спамер и это удручает Знать бы хоть как выглядит трафик у спам-бота.
    P.P.S. Ещё раз простите если я параноик
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    У протоколу POP только Бат обращается. Тут вроде бы всё нормально.
    А всё-таки что за HTML/XML по несколько раз в секунду идут? Это нормально?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от hyppopotam Посмотреть сообщение
    Нет я именно насчёт WireShark'а.
    Я эту программу тоже не знаю досконально - просто в гугле на контроль трафика нашел. Попробуйте установить Sygate 5.5 или 5.6 - файрволл старый и уже пару-тройку лет не поддерживается, но протоколирует отменно. Кстати и WinXP SP2 - файрволле можно протоколирование включить. А IP, который фиксирует провайдер, не с Вашего ПК, а с вашего сервера. Т.е. если есть еще к нему подключенные машины, то спам и с них может идти.

  15. #14
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    8
    Вес репутации
    59
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А IP, который фиксирует провайдер, не с Вашего ПК, а с вашего сервера. Т.е. если есть еще к нему подключенные машины, то спам и с них может идти.
    Это понятно. Роутер (он у нас аппаратный, как видно из лога это D-Link) один на всех. Само собой.

    Спасибо большое, немного успокоили.
    Но всё-таки я попытаюсь ещё покопать. Если будут вопросы — обращусь.

    Добавлено через 1 час 46 минут

    Поставил файрвол Sygate. Вроде разобрался в целом что там где.
    Скриншот: http://www.ljplus.ru/img4/h/y/hyppopotam/NOD.gif
    Поясните, правильно ли я понимаю что беспокоивший меня траффик NOD32 создаёт?
    Или всё-таки что-то зловредное может под NOD маскироваться?
    И если это действительно NOD, то о чём они могут с моим роутером часами беседовать?

    P.S. Попробую отключить NOD. Посмотрю что поменяется.
    Последний раз редактировалось hyppopotam; 07.02.2008 в 20:50. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от hyppopotam Посмотреть сообщение
    Попробую отключить NOD. Посмотрю что поменяется.
    Это небезынтересно. Хотя ни одно из указаных в скриншоте приложений не вызвало у меня подозрений. AFAIR Sygate пишет еще лог по портам и IP-адресам ( не спашивайте, как он точно называется , но там всего 4 лога ). НОД у Вас легальный? Попробуйте написать в поддержку с этим скриншотом вместе.
    ПС: Вы триальную версию Sygate скачали, а не freeware. Может через 30 дней активации потребовать. Freeware тут: http://www.simtel.net/product.downlo...s.php?id=53687 2 файрволла быть на системе не должно!!! Если хотите поставить freeware - удалите триалку.

  • Уважаемый(ая) hyppopotam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 04:21
    2. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37
    3. Не найти СпамБота
      От KulakovSergey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.01.2009, 12:40
    4. Похоже на спамбота
      От expe в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.10.2008, 10:38
    5. Ловим спамбота
      От givi в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.10.2006, 07:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01081 seconds with 20 queries