Показано с 1 по 11 из 11.

несанкционированный трафик (заявка № 5905)

  1. #1
    marew
    Guest

    несанкционированный трафик

    В сети появились несанкционированные обращения к внешнему ip адресу (каждые 0,5 часа). Причем эта зараза проявилась уже на четырех компьютерах в сети.
    Outpost Firewall показал, что это svchost.exe (Логи прилагаются).
    Антивируники ничего не нашли. Использовала для проверки Norton Antivirus (базы последние), и утилиту от drWeb - CureIT!
    Оновление системы отключено.
    ОС: Windows XP sp2.
    P.S. Программа HijackThis у меня почему-то не скачалась. Предполагаю, что прокси зарезает.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Для начала стоит прислать согласно правилам:
    C:\Program Files\SPSS\runsyntx.exe
    C:\WINDOWS\system32\prtserv.dll
    C:\Program Files\ORL\VNC\VNCHooks.dll
    C:\Program Files\ORL\VNC\omnithread_rt.dll
    C:\Program Files\ORL\VNC\WinVNC.exe

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Файлы пришли - как и предполагалось, VNC - это утилита удаленного администрирования. Она установлена для дела ?

  5. #4
    marew
    Guest
    Да.
    Так же как и spss

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от marew
    Да.
    Так же как и spss
    Понятно. В логах больше ничего особо криминальногно не видно. Тут другой момент - я никогда не пользовался Outpost, а по логу не совсем ясно - svchost.exe пытается соединиться с Инет, или он получает запрос на соединение извне ? Фокус в том, что номр порта меняется, как будто идет сканирование портов

  7. #6
    marew
    Guest
    хм, действительно сначала идет входящий запрос по udp с разных портов на локальный порт 1900 (и только на него). и так 10 раз. Затем одно исходящее соединение с моего пк по tcp (c разных портов).
    сорри, не сильна во взломах. Но мне казалось, что при скане портов должен меняться порт сканируемого пк, а не сканирующего. надо будет теорию почитать на досуге

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А который адрес ваш? 192.168.0.68 или 10.0.0.138? Оба, кстати, локально-сетевые. Если ваш первый, то входящие UDP, скорее всего, мультикасты. Какое-то широковещание в вашей сети работает на адресе 10.0.0.138. А svchost лезет на этот же хост на некий web-сервер.

  9. #8
    marew
    Guest
    192.168.0.68 - мой
    Ой, и чего мне теперь делать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А что за сеть? 10.0.0.138 - это ведь тоже не интернет. Какая-то контора, к которой ваша локалка подключена. Так что до владельца адреса вполне можно добраться и спросить.

  11. #10
    marew
    Guest
    похоже на то, что это даже не соседняя контора , а моя родная. 8-|
    Спасибо за помощь. Возможно еще появлюсь в понедельник

  12. #11
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    1. Поставить реальный антивирус. Norton Antivirus к ним не относится, но это отдельная тема.
    2. Немедленно убрать svchost.exe из списка "Доверенные" в "Пользовательский" уровень в Outpost Firewall - или деинсталлируйте ОР, т.к. в Вашем случае смысла в фаере уже нет.
    3. В Винде. Администрирование - Службы - "Служба обнаружения SSDP". Поставить тип запуска - Отключено.
    4. А вообще, логи в ОР (Outpost Firewall) делаются не так. Прежде чем сделать логи нужно правой кнопкой мыши выбрать "колонки" и проставить галочки. Вот только тогда инфа будет вся и можно будет узнать кто же на самом деле качает траффик.
    5. c:\program files\tmeter\trafsvc.exe - А это еще что такое? Какой-то Traffic Inspector наверное, хотя это и неважно. Учтите, что ОР может неправильно работать с программами ограничителями таффика и другими, подобного рода.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  • Уважаемый(ая) marew, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 17.07.2011, 00:46
    2. Несанкционированный спам
      От Bodreyka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.02.2010, 00:39
    3. Несанкционированный входящий трафик
      От RomanGV в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.05.2009, 09:48
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 07:30
    5. Ответов: 5
      Последнее сообщение: 07.06.2008, 12:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00416 seconds with 21 queries