Провайдер уверяет меня что я спамлю. Да я и сам вижу стабильный исходящий трафик. Если выкидываю из памяти "svchosts.exe -k netsvcs" то вместе с ним и убивается зловредный трафик. Понимаю что многие используют этот процесс в мирных целях, но вычленить бяку не могу, не хватает понимания устройства винды
Подскажите где копать.
Первый 14 пунктов правил изучил, действия описанные в них совершил (правда антивирус NOD32 до конца не выкидывал при проверке, только отключил, вроде так было рекомендовано).
Логи прилагаю.
P.S. Видимо важный симптом: при выполнении пункта 9 (перезагрузка после запуска AVZ в первый раз, с лечением) виндоус вылетала после входа в систему (то есть после меню выбора пользователя). Вылетала наглухо ничего не спросив, два раза, с третьей попытки вошёл.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не могу точно ответить. Не первый пользователь на этом компьютере (офисная машина досталась по наследству). Возможно что сам. Эта настройка в IE вроде бы не активна. По крайней мере галочка "использовать прокси" не стоит. Да и не пользуюсь я IE, а пользуюсь Мозиллой. На всякий случай стёр.
Как ещё можно поглубже покопать систему?
Возможно ли посмотреть как-то происхождение исходящего трафика?
установите файрволл с протоколированием соединений или что-нибудь типа Wireshark
Поставил Wireshark.
Извините что не дождался просьбы показать результаты.
Сам пока не разобрался с этим файрволом. Посмотрите пожалуйста его лог и скажите мне нормальный ли он? (формат .pcap предложили по умолчанию)
P.S. Уже начинаю думать что может я просто параноик и перебдел? А трафик у меня нормальный? Потому что вижу только обращения к роутеру и в локалке
P.P.S. Пока писал лог ничего не делал. ICQ погасил, браузерами не пользовался.
а это и не файрволл вообще . но и я ничего подозрительного не обнаружил. Как я понял - в время записи протокола Вы не забирали и не отправляли почту. Попробуйте сделать и то и другое и посмотрите - с чем соединяется почтовая программа (соединения по POP и SMTP - протоколам).
Простите ламера. Староват уже вникать. Активно пользуюсь ПК с 1988 года. БК, МС0585, XT, AT... ФОДОС, RT-11, MS-DOS... Win3.11 ещё мог понимать, но с появлением Win-95 выбился из колеи и теперь чувствую себя весьма неуютно. В сетях вообще туго соображаю Вы мне пальцем покажите где копать, я раскопаю.
P.S. Книжку "Безопасный интернет..." скачал. Ставлю на смартфон читалку PDF и в ближайшие дни её прочту. Буду навёрстывать упущенное за 10 лет
Кстати Wireshark показывает три устройства в машине.
Помимо сетевой карточки есть:
Adapter for generic dualup and VPN capture.
MS Tunnel Interface Driver.
Первый совсем не активен, второй раз в четыре секунды пакет выдаёт, но вроде бы они совсем ни при чём.
Вы насчет файрволла? Так это в общем и целом фильтр, который пакеты данных в сети проверяет. Тут почитать можно. Да и в книжке об этом написано.
Нет я именно насчёт WireShark'а. Как с помощью него найти кем именно был создан тот или иной пакет вызывающий у меня подозрение? Меня, например, очень смущает частая пересылка HTTP/XML. Как узнать какая софтина это делает, чтобы понять для чего.
Что-то у меня с почтой странное. Сменил пароль (чтобы показать лог, а то он там не шифруется) с новым паролем через web-интерфейс (mail.ru) почта доступна. А через TheBat! выдаёт ошибку. Хотя пароль правильный (на тот момент установил пароль "virusinfo"). То ли mail.ru колбасит, то ли я чего-то не понимаю.
В любом случае лог даю (извините за траффик, чуть по-длиннее лог). Может вы там что-то видите.
P.S. У меня в состоянии покоя траффик идёт. Вот это меня беспокоит. Может какая софтина обновления смотрит. Может устройства опрашиваются. А может спам. Не знаю. Но знаю что мой IP в блек-лист попал как спамер и это удручает Знать бы хоть как выглядит трафик у спам-бота.
P.P.S. Ещё раз простите если я параноик
Я эту программу тоже не знаю досконально - просто в гугле на контроль трафика нашел. Попробуйте установить Sygate 5.5 или 5.6 - файрволл старый и уже пару-тройку лет не поддерживается, но протоколирует отменно. Кстати и WinXP SP2 - файрволле можно протоколирование включить. А IP, который фиксирует провайдер, не с Вашего ПК, а с вашего сервера. Т.е. если есть еще к нему подключенные машины, то спам и с них может идти.
А IP, который фиксирует провайдер, не с Вашего ПК, а с вашего сервера. Т.е. если есть еще к нему подключенные машины, то спам и с них может идти.
Это понятно. Роутер (он у нас аппаратный, как видно из лога это D-Link) один на всех. Само собой.
Спасибо большое, немного успокоили.
Но всё-таки я попытаюсь ещё покопать. Если будут вопросы — обращусь.
Добавлено через 1 час 46 минут
Поставил файрвол Sygate. Вроде разобрался в целом что там где.
Скриншот: http://www.ljplus.ru/img4/h/y/hyppopotam/NOD.gif
Поясните, правильно ли я понимаю что беспокоивший меня траффик NOD32 создаёт?
Или всё-таки что-то зловредное может под NOD маскироваться?
И если это действительно NOD, то о чём они могут с моим роутером часами беседовать?
P.S. Попробую отключить NOD. Посмотрю что поменяется.
Последний раз редактировалось hyppopotam; 07.02.2008 в 20:50.
Причина: Добавлено
Это небезынтересно. Хотя ни одно из указаных в скриншоте приложений не вызвало у меня подозрений. AFAIR Sygate пишет еще лог по портам и IP-адресам ( не спашивайте, как он точно называется , но там всего 4 лога ). НОД у Вас легальный? Попробуйте написать в поддержку с этим скриншотом вместе.
ПС: Вы триальную версию Sygate скачали, а не freeware. Может через 30 дней активации потребовать. Freeware тут: http://www.simtel.net/product.downlo...s.php?id=53687 2 файрволла быть на системе не должно!!! Если хотите поставить freeware - удалите триалку.
Уважаемый(ая) hyppopotam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: