-
Junior Member
- Вес репутации
- 53
Подозрительная сетевая активность
Здравствуйте!
Проблема такого рода. Сетевой экран блирует и показывает, что с этого компьютера идут постоянные запросы по UDP протоколу на порт 123 только на 2 IP 192.168.237.1 и 192.168.21.1 Иногда проскакивает на TCP порты каждый раз разные, но на те же IP адреса. Служба времени настроена на обращение по этому же порту 123 на фиксированный IP 192.168.0.201 и работает нормально.
Если же службу времени остановить, то начинают сыпаться запросы на те же самые 2 IP адреса, но уже на порт 3. Установлен антивирус SEP 11, но он ничего не находит, AVP Tool тоже.
ОС - Windows 2003 Server EE SP2.
Файл virusinfo_syscheck.zip программой AVZ создан не был
Последний раз редактировалось bs2003; 12.09.2010 в 17:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ExecuteRepair(16);
end.
Перезагрузите машину. Больше ничего плохого.
-
-
Junior Member
- Вес репутации
- 53
Venus Doom,
Shell=Explorer.exe csrcs.exe было мной добавлено вручную (уже убрал) в соответствии с рекомендациями Symantec
http://securityresponse.symantec.com...014-99&tabid=3
Restore the following registry entries to their previous values, if required:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe csrcs.exe"
Потом понял что это они написали то ли с пьяну, то ли с дуру и вернул как было.
Дело в том, что один юзер подключил к сети свой ноут с W32.Harakit, который сразу сделал попытку разойтись по сети. Антивирус его перехватил. Но Symantec написали что нужно еще ручками в реестре править. А сами хрень написали
Скрипт выполнил. Ничего не изменилось. Продолжает ломиться на те же IP.
Машина отвечает за производственный процесс и такая загрузка сети мешает работе.
Что еще может быть?
Последний раз редактировалось bs2003; 13.09.2010 в 08:49.
-
Сообщение от
bs2003
Но Symantec написали что нужно еще ручками в реестре править. А сами хрень написали
Посмотрел описание. Там указаны изменяемые вирусом параметры, а не правильные значения
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Прошу прощения.
Фразу Restore the following registry entries to their previous values, я понял как восстановить данные реестра к указанным ниже.
Лог Malwarebytes Antimalware прилагается, ничего не обнаружено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Ничего необычного в логе
я и сам вижу. Но факт остается фактом. Комп каждую секунду ломится на эти IP. Может какая то программа работающая на нем это делает? Как ее вычислить? Хотя я просмотрел настройки их всех. Ни у одной нет синхронизации времени с инетом. И главное почему "эта программа" при остановке Time Service начинает ломиться на порт 3
-
Сообщение от
bs2003
Как ее вычислить?
Сетевой экран
-