в продолжении этой темы [URL]http://virusinfo.info/showthread.php?t=48756[/URL]
другая машина
посмотрите пожалуйста.
Printable View
в продолжении этой темы [URL]http://virusinfo.info/showthread.php?t=48756[/URL]
другая машина
посмотрите пожалуйста.
C:\WINDOWS\system32\drivers\wpsdrvnt.sys - откуда вот это на обеих машинах.
сделаем так: надо сделать комплект логов AVZ скачав ее из моей подписи.
сделал
Павел можете что-нибудь сказать?
Пока никаких особо правильных идей нет. Единственное, что смущает драйвер от фаера Комодо в логах, а ничего другого от него не видно.
А кто сказал, что от вас идёт спам? Вы сами это видели?
сам вижу что бьются с айпишников и перебирают порты, да и почта возвращается с пометкой что подсеть наша в блэк листе из за спама...
Давай твой прокси: 192.168.0.113 проверим.
Сделай тему с логами с него.
прокси стоит на freebsd
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
может запостить логи еще с одной машины?
А с каких айпишников бьются? Вы видите соединения из своей подсети на порт 25 какого-то удаленного адреса/адресов?
например с айпи тех двух машин, логи которых я выложил. нет именно на 25 я не вижу.
up up up
[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]
канал забивается(
пытается ломиться на порты а-ля blackjack gwha objective- innosys
Прогони полностью AVPTool. Может со свежими базами что-нибудь найдет.
Можно еще поставить анализатор траффика типа X-NetStat Professional.
скачал авптул последний, прогнал и собственно ничего.
решил поставить outpost и на ночь оставить с браузером работать...что то бьется по портам пишет процесс неизвестен...вот что получилось
Из лога видно только, что оутпост блокирует соединения с вашим локальным прокси-сервером. Такая активность, строго говоря, ни о чем не говорит - это может и служба автоматического обновления так работать. Машина, использующаяся как прокси, зачем-то шлет широковещательные запросы, но в этом тоже нет ничего криминального, возможно, например, если ваш шлюз работает и как файл-сервер.
просто все процессы кроме этого инициализируются
[QUOTE=truexcolors;425896]просто все процессы кроме этого инициализируются[/QUOTE]
Извините, не понял. Вы ориентируетесь на запись "недоступно" в логе Оутпоста? Так она означает буквально следующее: [url]http://www.agnitum.ru/support/kb/article.php?id=1000141&lang=ru[/url]. [quote]Следующая сетевая активность отображается как "[B]n/a[/B]" соединения:
[LIST][*]все транзитные соединения;[*]любая активность на незанятые порты.[/LIST]
[/quote]В вашем случае, активность на незанятые порты - соединение с прокси, потому как локально для соединения будет открыт первый незанятый порт, отсюда и перебор портов в логах - когда оутпост блокирует соединение на один порт, идет попытка соединения на другой. Почему оутпост это считает атакой, не берусь судить, об этом лучше на их форуме спросить, но и там, боюсь, они попросят набор правил, созданных для файерволла, предъявить сначала.
режим стоял "обучения" и на этот процесс он не предложил создать каких либо правил, из этого и сделал выводы...