NetBIOS ломится в сеть при активном сетевом подключении.
Привет,
на моей машине NetBIOS ломится в сеть при активном подключении (определил это с помощью Agnitum Outpost), не смотря на то, что он отключен (!) - в свойствах удаленного подключения, и в диспетчере устройств (Plug and Play). Удаленные порты, на которые направлен NetBIOS: 1025 и все после него.
Кроме NetBIOS в сеть ломится и неопределенное приложение, которое в Outpost значится как "n/a", через порт DCOM на всевозможные удаленные порты.
+ во время проверки машины программой AVZ - несколько раз появлялся "синий экран".
Подскажите, пожалуйста, где срань спряталась?
PS Необходимые файлы прикреплены.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Скопируйте в IceSword, как написано здесь http://virusinfo.info/showthread.php?t=17109 следующие файлы:
C:\WINDOWS\System32\DRIVERS\netbt.sys
Distributed Allocated Memory Unit.sys
C:\WINDOWS\System32\pctspk.exe
кстати, файлы netbt.sys и netbios.sys были удалены из директории C:\WINDOWS\System32\DRIVERS\. Т.е. данных файлов на машине нет вообще (это было сделано с целью избавиться от назойливого процесса). Этих файлов нет, но Оутпост все равно показывает, что сетевая активность генерируется процессом под названием "netbios".
Добавлено через 6 минут
IceSword.exe не запускается. Пишет: "Initialize failed, error code: 1."?
Добавлено через 6 минут
"Distributed Allocated Memory Unit.sys" данного файла нет тоже.
C:\WINDOWS\system32\dllcache\ - у меня пустая по умолчанию
в папке C:\WINDOWS\system32\drivers\ файла с таким именем нет.
Последний раз редактировалось vanyusha; 25.05.2008 в 01:04.
Причина: Добавлено
Скачайте Gmer. Запустите программу.
Зайдите на закладку Files и попробуйте там найти и скопировать:
C:\WINDOWS\System32\DRIVERS\netbt.sys
Distributed Allocated Memory Unit.sys
C:\WINDOWS\System32\pctspk.exe
Затем отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
- (virus.zip) - запрашиваемые файлы;
Файл сохранён как 080524_175315_virus_48389c5b94dff.zip
Размер файла 175363
MD5 5faae7b2ee2d01005853ecab1a13122f
- файла "Distributed Allocated Memory Unit.sys" физически нет на компьютере. (см. скриншот);
Точно не помню, но кажется исполняемый файл для службы "Distributed Allocated Memory Unit" был "C:\WINDOWS\system32\H@tKeysH@@k.DLL", который на данный момент удален.
- Gmer.log прикреплен.
[moderated: Файлы присылаются в соответствии с приложением 3 правил]
Последний раз редактировалось Shu_b; 25.05.2008 в 10:39.
Та в том то и дело - локалкой не пользуюсь вообще, поэтому поотключал службы, обеспечивающие работу локальной сети.
Даже физически удалил файлы:
C:\WINDOWS\System32\DRIVERS\netbt.sys
C:\WINDOWS\System32\DRIVERS\netbios.sys
C:\WINDOWS\System32\dllcache\netbt.sys
C:\WINDOWS\System32\dllcache\netbios.sys
т.е. фактически НетБИОС не должен вообще работать... а он, при появлении активного сетевого подключения, каждые 1-2 минуты начинает ломиться в сеть. Оутпост Файрфолл определят его так:
===================================
Start time Application Direction Protocol Remote Address Remote port Local Address Local port Reason Up time Bytes per second Sent Recv
13:22:48 NETBIOS IN REFUSED TCP 82.207.6.187 3620 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:20:26 NETBIOS IN REFUSED TCP 82.207.56.36 2721 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:16:01 NETBIOS IN REFUSED TCP 82.207.56.36 1632 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:15:49 NETBIOS IN REFUSED TCP 82.207.32.153 1235 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
13:14:51 NETBIOS IN REFUSED TCP 82.207.56.36 4163 82.207.35.164 MICROSOFT_DS Block NetBIOS Traffic 00:00:01 0 bytes/s 0 bytes 0 bytes
===================================
Если отключить файрволл, то через эти порты мгновенно залетает туча вирусов.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: