Суть проблемы. Outpost пишет следующее:
Имя процесса: SVCHOST.EXE
Удаленный адрес: 195.112.96.21 (это вторичный DNS моего провайдера)
Удаленный порт: DNS
Причина разрешения/блокировки: Block incoming UDP activity
Состояние: ВХОД БЛОКИРОВАНО
И ни одна программа не может выйти в инет! Outpost всё блокирует. Не надолго добавил SVCHOST.EXE в доверенные приложения (чтобы убедиться в том, что инет блокирует Outpost из-за какой-то заразы) - приложения в инет выходят нормально, скорость соединения осталась такой же, как и была, но вот реальная скорость работы сильно упала (у меня dial-up) - подозреваю использования моего компа для рассылки спама или подобных вещей. Правило для SVCHOST.EXE установил стандартные - инет опять "пропал".
Еще, периодически, Outpost пишет следующее:
Имя процесса: Недоступно
Удаленный адрес: localhost
Удаленный порт: 1038 (иногда бывает 1036 и т.д.)
Причина разрешения/блокировки: Запретить транзитные пакеты
Состояние: ВХОД БЛОКИРОВАНО
Сканирования Касперским 6.0, Lavasoft Ad-Aware SE Personal и Spybot - Search & Destroy ни к чему не привели. "Ваша система защищена"... :-(
Подскажите, что с моей системой? Что за заразу словил и как избавиться? Спасибо за любую помощь. Логи приаттачил.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемые специалисты. Все сделал как вы просили: пофиксил строки, отослал по правилам карантин (вчера). Но т.к. никаких сообщений по моей теме больше нет, то возник вопрос - дошел ли запрошенный файл? И как продвигается моё "дело"? Мои дальнейшие действия? Очень жду дальнейшей помощи и указаний. Без инета уже не могу!
P.S. Большое спасибо за ВАШУ работу и сайт!
Я звонил в техподдержку моего провайдера. Там сказали, что такое обращение к DNS не нормально и что в их практике были подобные случаи и это были руткиты, которые рассылали спам с зараженных компов.
Разрешил сейчас svchost.exe то, что он "хочет". Потребовалось разрешить UDP с 1061, 1072, 1179. Скорость работы в инете - мизерная. Вот такой журнал выдал Аутпост:
19:49:54 Недоступно ВХОД БЛОКИРОВАНО ICMP 213.175.119.151 Эхо-запрос/0 ICMP соединения
19:46:52 Недоступно ВХОД БЛОКИРОВАНО ICMP 83.6.132.76 Эхо-запрос/0 ICMP соединения
19:44:46 Недоступно ВХОД БЛОКИРОВАНО TCP 61.187.10.162 1410 Пакет на закрытый порт
19:43:46 svchost.exe ВХОД БЛОКИРОВАНО TCP 195.112.106.24 3769 Block incoming RPC (TCP)
Что делать - не знаю. Боюсь дальше работать в этой винде.
насчет спама нереально, а ухитриться подсадить трояна по DNS и качать всего по несколько байт за одно обращение можно, но это слишком заумно и долго, хе, через UDP без подтверждения и т.д., а тут с сервера провайдера... им заняться нечем чтоль..., бред какой-то.
1. Закрыть порты 135 и 445 средствами Винды - вариантов много - где-то в соседней ветке этого форума написано как это сделать, если не ошибаюсь, тема так и называется "как закрыть порты 135 и 445" (точно не помню).
2. Закрыть порт 1900 - в винде отключить службу "Обнаружение UNPnp ..." - вряд ли она Вам понадобится в 99,9%.
Далее.
C:\WINXP\System32\drivers\klif.sys
Вы видимо раньше устанавливали Касперского, может даже бету, возможно она некорректно удалилась. На форуме тоже была тема "как удалить kav/kis" (точно тоже не помню).
P.S. искренне извиняюсь, что не даю прямых ссылок.
Еще, периодически, Outpost пишет следующее:
Имя процесса: Недоступно
Удаленный адрес: localhost
Удаленный порт: 1038 (иногда бывает 1036 и т.д.)
Причина разрешения/блокировки: Запретить транзитные пакеты
Состояние: ВХОД БЛОКИРОВАНО
localhost:127.0.0.1 нужен - без него никак. (изредка даже вся подсеть 127.0.0.0 нужна, но это зависит от софта на машине). А вот насчет транзитов, хм, странно, видимо такое выскакивало, когда вы устанавливали софт, который пропускал трафик сначала через себя (например тот же KAV), а только потом отдавал на анализ Аутпосту.
195.112.96.21 = dns2.maxnet.ru
DNS2? а что у Вашего провайдера нет DNS1? Хитрый у Вас провайдер. А если один из серверов повиснет? Вся сетка с юзерами встанет ведь, но это другая тема.
....
Попробуйте в Outpost для svchost.exe отредактировать правило [Block incoming UDP activity] (смотрите внимательно) :
Где протокол UDP
Где направление входящее
(по желанию можно вписать адрес прова - 195.112.96.21)
и где локальный порт 1025-1045 Разрешить эти данные
Это еще не всё. Обязательно выше по списку должно стоять вот такое правило [DNS Client UDP connection]:
Где протокол UDP
Где направление исходящее
(по желанию можно вписать адрес прова - 195.112.96.21)
и где удаленный порт 53
и где локальный порт 1024-65535
Разрешить эти данные и Включить динамическую фильтрацию
Скорее всего именно в дин.ф. трабла.
...
А вообще, лично я не вижу никакого присутствия троянов и т.д.
Поэтому мне кажется проблема именно в Outpost, а не в троянах. (траблы с провайдером в расчет не берем - будем считать, что у него все ОК).
Если не получится, то попробуйте удалить svchost из списка приложений в Outpost, подключиться к инету и создать для него правила заново на автомате, и временно отключите в Outpost модуль "DNS"-кеш.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: