Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Неизвестный трафик с 217.73.201.237 (заявка № 29485)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60

    Question Неизвестный трафик с 217.73.201.237

    Добрый вечер!
    Несколько компьютеров в домене качают трафик с ip 217.73.201.237
    Сканировал касперским, вебом - результат отрицательный.
    прикладываю логи с одной машины.
    утилита Tcpview показывает что на этой машине на этот адрес долбится касперский, на другой isa клиент.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто,вот инфа по этому адресу http://whois.domaintools.com/217.73.201.237

  4. #3
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    в логах чисто.....
    а трафика с этого ip несколько гигов в месяц!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    C:\WINDOWS\Installer\3fe10c4.msi- это много весит? надо бы Олегу отослать

    блокировать пробовали данный IP ?

  6. #5
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    теперь конечно данный ip заблокировал на isa сервере, но заразу ведь все равно надо вычистить.
    В архиве файл весит около 1 метра, без 7,5

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Загрузите его сюда http://zalil.ru/ и дайте ссылку

  8. #7
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    загрузил
    http://slil.ru/26110284
    Последний раз редактировалось Lrad; 02.09.2008 в 22:06. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    удалил касперского, поставил outpost
    вот как выглядит теперь
    Изображения Изображения
    • Тип файла: jpg 1.JPG (197.8 Кб, 27 просмотров)

  10. #9
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    Присланный файл не анализировали?

  11. #10
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    Вот прикладываю рис. где на адрес долбится касперский
    Изображения Изображения
    • Тип файла: jpg 1.JPG (140.3 Кб, 13 просмотров)

  12. #11
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    Ерунда какая то получается.....
    1)Отформатировал винт, установил ХР, KAV7, без сети.
    2)Установил скачанную только с микрософта последнюю версию microsoft firewall client 2004 для ISA server 2004.
    3) Воткнул комп в домен.
    4)тут же касперский выдает сообщение о том, что microsoft firewall client 2004 не может установить соеденение с адресом 217.73.201.237
    НАРОД ЧТО ЕНТО ЗА ЕРУНДА ТАКАЯ?
    Не может случайно на серваке какая-нибудь хрень сидеть и заставлять этот microsoft firewall client 2004 долбиться по этому адресу?
    Вашими антивирусными утилитами AVZ и HijackThis можно сервак проверить?(server 2003)
    Дайте совет, я уже не знаю что делать....

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Firewall Client вряд ли по собственному почину туда лезет. Либо какое-то приложение (может, сам KAV?), либо действительно ISA Server даёт такое целеуказание.

  14. #13
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    удалил isa клиента
    теперь долбится svchost
    в отчетах каспера-
    Попытка процесса с PID 988 получения доступа к процессу Антивирус Касперского с PID 2044 заблокирована. Это результат срабатывания механизма самозащиты.
    и так весь отчет

  15. #14
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    Посмотрите,пожалуйста, логи
    голая система(только установленная) и kav7
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bokselnet.spb.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bokselnet.spb.ru
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://isa.bokselnet.spb.ru:8080/array.dll?Get.Routing.Script
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = isa.bokselnet.spb.ru:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.bokselnet.spb.ru;<local>
    O14 - IERESET.INF: START_PAGE_URL=http://www.bokselnet.spb.ru
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bokselnet.spb.ru
    O17 - HKLM\Software\..\Telephony: DomainName = bokselnet.spb.ru
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bokselnet.spb.ru
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bokselnet.spb.ru
    Знаете всех в этом списке?
    Фирма эта, которой IP принадлежит, Вам известна?

  17. #16
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    bokselnet.spb.ru
    это наша фирма
    kav только что выдал
    "06.09.2008 23:19:42 Программа C:\WINDOWS\System32\svchost.exe не может установить соединение с сервером 217.73.201.237. Проверьте параметры соединения с интернетом. Возможно, в установленном сетевом экране отсутствует разрешающее правило для приложения avp.exe.
    "

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Еще раз попробуем
    Фирма эта, которой IP принадлежит, Вам известна?
    Файл
    Код:
    C:\WINDOWS\System32\svchost.exe
    по приложению 2 и 3 правил закачайте.

  19. #18
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    217.73.201.237
    этот ip мне неизвестен
    C:\WINDOWS\System32\svchost.exe не добавляется в карантин
    пишет
    "Процесс добавления файлов запущен
    Процесс добавления файлов завершен"
    но в карантине н6ичего не появляется...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     BC_QrFile('c:\windows\system32\winlogon.exe');
     BC_QrFile('c:\windows\system32\lsass.exe');
     BC_QrFile('c:\windows\system32\svchost.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  21. #20
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    23
    Вес репутации
    60
    карантин отправил.
    После выполнения скрипта и перезазрузки kav выдал
    "06.09.2008 23:42:23 Процесс C:\WINDOWS\system32\userinit.exe (PID: 170: попытка загрузки нового или измененного модуля заблокирована.
    "

  • Уважаемый(ая) Lrad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 28.08.2010, 23:29
    2. Генерируется неизвестный трафик
      От daberman в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.06.2010, 12:42
    3. Неизвестный входящий и исходящий трафик
      От bublenter в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:00
    4. Неизвестный трафик
      От randomask в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 03:46
    5. Неизвестный трафик забивает канал
      От TimurChi в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.08.2008, 13:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00252 seconds with 20 queries