Пару недель назад появилась странная проблема, поначалу не обращал внимания, но потом решил разобраться
Различные приложения, даже те которые к сети не имеют отношения,
пытаются установить соединение с 0.0.0.0:137
Причем происходит это достаточно случайным образом в случайные промежутки времени.
Узнал я об этом из сообщений firewallА авиры, которым я эти попытки блокирую, после чего через некоторое время другое приложение пытается это сделать (то которое еще не заблокированно авирой) среди них за все время были замечены explorer, mmc и другие виндовские приложения, утилиты драйверов блютуса, тачпада и им подобные висящие в трее, плееры, блокнот, даже программка для создания субтитров после получаса работы с ней захотела соединяться с портом 137.
Также после нескольких дней использования свежеустановленной винды, после появления всех этит попыток коннекта появляется какое-то непонятно устройство которое не имеет никаких опознавательных знаков, кроме кода устройства: ROOT\LEGACY_UTM5MTA0\0000, оно досаждает каждый раз при входе в систему (не найдены драйвера итд..)
На последней установке появилась проблема с тем что браузер не может начать загрузку файлов (браузер comodo dragon) пишет начало загрузки и ничего не происходит.. эта проблема появилась только вчера когда я взялся качать avptool и cureit, скачал через стандартный ie.
Авира с макс настройками ничего не нашла, cureit - ничего, avptool нашел, что только у меня устаревшая версия явы, в которой могут быть некоторые уязвимости, больше ничего.
AVZ скрипты выполняет, но логи почему то не сохраняет, вообще папка лог не появляется даже, хотя никаких ошибок не выдает.
(Обновление: начал создавать логи после перемещения на другой диск, на прежнем - каша в правах доступа, исправил вручную...)
Hijackthis при создании лога дважды выдал ошибку с кодом 5 кажется, предлагал жать yes для отправки сведений об ошибке в свою компанию, но лог все таки создал.
С этой всей проблемой своими руками справиться так и не смог, поэтому обращаюсь за помощью.
Уже 3 раза за неделю переставлял винду, сразу отключаю все сомнительные службы, делаю настройки в реестре, которые обычно рекомендует avz, все вышеописанные проблемы появляются не сразу после установки новой винды, а примерно через 2-3 дня использования, есть подозрение на то что что-то проникает через торрент, т.к использую по сути только его и браузер. В авире файерволл настроен как мог максимально, плюс еще до компа стоит роутер m0n0wall, открыт только порт торрента, и разрешены некоторые Imcp...
Но все же, проблема повторяется.
На мой взгляд, если после 10 минут печатания текста в блокноте он вдруг желает соединяться со 137 портом, является знаком того что чтото происходит, хотя та же авира не усматривает в самом блокноте каких либо изменений файла, либо сами файлы не заражаются, либо авира не может отличить хотя avptool и cureit тоже ничего не видят.
При последней переустановке винды создал специально юзера и старался все кроме установок программ делать под ним, сейчас программы точно хотят на порт 137 при работе под юзером, под админом похоже нет или просто уже не отображаются авирой, тк уже заблокированы. Под юзером лезут однозначно. Файлы не скачиваются dragonom ни под каким акком.
Выкладываю что смог создать, создан под админом (с двумя ошибками в процессе создания как уже говорил), если нужны от юзера, скажите.
Очень надеюсь на помошь.
Последний раз редактировалось Ethan; 13.10.2010 в 20:14.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Согласен, все выглядит абсолютно чисто, но программы хотят соединения
Что может это вызывать, и вообще зачем какой то простой программе соединяться с моим же компом на порт 137?
Добавлено через 6 часов 4 минуты
Свежие новости, теперь программки хотят устанавливать соединения уже не с моим компом (0.0.0.0:137) а с различными айпи по россии, смотрел по whois - простые айпи провайдерских подсетей, те пользователей, за сегодня инсталлятор хотел кудато в СПб на порт 137, затем hkcmd хотел на московский айпи :137, пока писал это сообщение какойто модуль пакета установки переводчика (который сейчас ставится) захотел на украину на 137ой...
Впечатление что я уже часть ботнета, и заражен чем-то типа Sality.nao
Каждое приложение которое еще до этого не запускалось, и я его не блочил файерволлом, при первом запуске куда-то лезет и именно на порт 137.
Удивительно, почему файерволл до сих пор определяет попытки коннектов, когда все остальное бездействует...
Пожалуйста не обходите вниманием мой вопрос, здесь явно что-то не так...
Последний раз редактировалось Ethan; 15.10.2010 в 03:53.
Причина: Добавлено
Уважаемый(ая) Ethan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
