Локальная сеть, примерно 10 компьютеров.
Прокси сервер для выхода в интернет.
Судя по логам с коммутатора, осуществляется syn-сканирование шлюза по умолчанию на 23 порт (telnet).
Сканирование (если это действительно сканирование) идет с ip адресов компьютеров, на которых ОС Windows 7. C windows xp такой активности не замечено.
Сканирование идет каждый день всегда в одно и то же время, (не со всех компьютеров одновременно, а с каждого компа в свое время)
Поиск Касперским и Доктором вебом с загрузочных флешек ничего не нашел.
Wireshark запущенный на одном из компьютеров с фильтром по ip адресу шлюза по умлочанию поймал только обратные пакеты от шлюза, ICMP destination unreachable.
ProcessMonitor запущенный параллельно с Шарком, в точное время поимки пакетов шарком, вроде бы не показал ничего подозрительного.
(есть скриншоты, очень наглядно показывающие то, что я сейчас написал, но инструкция запрещает их прикреплять без приказа)
Если компьютер выключен, то в логах с коммутатора записей про него не появляется.
Что это может быть? Вирус или нормальное поведение операционки от Microsoft, которая все больше стремится к захватыванию контроля за нашими компьютерами?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Александр З, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Добрый день.
До того, как я получил (прочитал) сообщение с новыми инструкциями, я сделал следующее:
Удалил антивирус Аваст, поставил Kaspersky Endpoint security.
Запустил снифер на порту коммутатора (до этого он работал только на компьютере). На компьютере был осуществлен вход под учетной записью администратора. (Сотрудник, которому принадлежит основная рабочая учетка в отпуске).
С момента совершения этих действий до сегодняшнего дня (сотрудник вышел из отпуска) снифер ничего подозрительного не поймал. Т.е. или касперский срабатыввает, но ничего не сообщает при этом, или зловред затаился/исчез.
Кроме того, был поставлен на прослушку другой компьютер так же на порту коммутатора, и снифер действительно поймал SYN сканирование 40 различных стандартных портов начиная с 20-го.
Теперь, что касается новых инструкций.
1. Первый скрипт выполнил, компьютер перезагрузился, но в какой-то момент появилось окошко с кучей вопросительных знаков и словом AVZ в середине. Нажал ОК.
2. Второй скрипт выполнил.
3. Не совсем понятно что за "новый лог AVZ" надо приложить, и что за лог AdwCleaner. На всякий случай, для AVZ выполнил два скрипта из самой первой инструкции, а для AdwCleaner сканирование по умолчанию. Эти логи прикладываю.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот.
На всякий случай напоминаю, что с этого компьютера (комп №12) уже не регистрируются попытки сканирования. Готов препарировать какой-нибудь другой компьютер, если скажете.
На данном ПК проблема уже не проявляется, начиная с 1 июля. И похоже, что на всех компьютерах, где аваст был заменен на Касперского (End Point Security) проблема исчезает.
Неужели возможно, что дело было в Авасте? Кстати, я всё еще могу приложить скрины сниферов, чтобы не быть голословным.
Возможны варианты и ложного срабатывания Avast, к сожалению по работе антивирусного ПО Avast, я Вам не подскажу, лучше данный вопрос уточнить у разработчика данного антивирусного обеспечения.
Если других вопросов нет, то:
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix. Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
и сохраните на Рабочем столе.
