alg.exe лезет на левый IP

**lesa111** · 07.04.2010, 10:26

Файерволл говорит мне что alg.exe лезет на некий IP:

Remote Point: 91.204.149.62 , port ftp [21]
Protocol: [6] TCP

1. Подскажите как определить что это не троян ?
2. Как узнать кто активизировал alg.exe ?
3. Можно ли по IP, на который лезет прога, выяснить что активничает некий вирус, и какой

Зловредных процессов ни одна прога не показывает.
Антивирусники все молчат.
anvir
avz
HiJackThis
Все показывают, что все хорошо.

alg.exe проверил - валидный

Мне интересны ответы, как по конкретному IP-шнику/вирусу
так и по методологии определения зловредности.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**igor.cononow** · 07.04.2010, 10:45

Насчет IP;
Using server whois.ripe.net.
Query string: "-V Md4.7 91.204.149.62"

inetnum: 91.204.148.0 - 91.204.151.255
netname: YourNet
descr: Your Net
country: RU
org: ORG-YN4-RIPE
admin-c: DK2630-RIPE
tech-c: DK2630-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: YOURNET-MNT
mnt-routes: YOURNET-MNT
mnt-domains: YOURNET-MNT
source: RIPE # Filtered

organisation: ORG-YN4-RIPE
org-name: Your Net
org-type: OTHER
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
e-mail: [email protected]
mnt-ref: SEVEREN-MNT
mnt-by: YOURNET-MNT
source: RIPE # Filtered

person: Dmitry Kozmenko
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
phone: +7 812 716-66-22
phone: +7 911 765-17-20
e-mail: [email protected]
e-mail: [email protected]
nic-hdl: DK2630-RIPE
mnt-by: YOURNET-MNT
source: RIPE # Filtered

route: 91.204.148.0/22
descr: Your Net
descr: yournet
origin: AS47459
mnt-by: YOURNET-MNT
source: RIPE # Filtered

**Torvic99** · 07.04.2010, 10:53

Вам надо проверится по правилам в разделе "Помогите"

Информация об IP-адресе 91.204.149.62

по данным RIPE:
% This is the Ripe-Mirror Whois server.

% Note: this output has been filtered.

% Information related to '91.204.148.0 - 91.204.151.255'

inetnum: 91.204.148.0 - 91.204.151.255
netname: YourNet
descr: Your Net
country: RU
org: ORG-YN4-RIPE
admin-c: DK2630-RIPE
tech-c: DK2630-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: YOURNET-MNT
mnt-routes: YOURNET-MNT
mnt-domains: YOURNET-MNT
source: RIPE # Filtered

organisation: ORG-YN4-RIPE
org-name: Your Net
org-type: OTHER
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
e-mail: [email protected]
mnt-ref: SEVEREN-MNT
mnt-by: YOURNET-MNT
source: RIPE # Filtered

person: Dmitry Kozmenko
address: Malaja Buharestskaja, 3
address: Saint-Petersburg
address: 192288, Russia
phone: +7 812 716-66-22
phone: +7 911 765-17-20
e-mail: [email protected]
e-mail: [email protected]
nic-hdl: DK2630-RIPE
mnt-by: YOURNET-MNT
source: RIPE # Filtered

% Information related to '91.204.148.0/22AS47459'

route: 91.204.148.0/22
descr: Your Net
descr: yournet
origin: AS47459
mnt-by: YOURNET-MNT
source: RIPE # Filtered

**lesa111** · 07.04.2010, 11:27

Вопрос остался:

Можно ли по IP, на который лезет прога, выяснить что активничает некий вирус, и какой

**AndreyKa** · 07.04.2010, 12:13

В отдельных случаях можно предположить что это, а в общем - нет.

**lesa111** · 07.04.2010, 12:45

Тем не менее что делать в этом конкретном случае ?

**@Aleksei@** · 07.04.2010, 12:49

Сообщение от Torvic99

Вам надо проверится по правилам в разделе "Помогите"

Вам уже сказали что делать в Вашем конкретном случае

**lesa111** · 07.04.2010, 13:52

Ну тоесть, я правильно понимаю, что искать процесс, который активировал alg.exe бесперспективно ?

Этот путь не приводит к интересующему меня процессу ?

**Torvic99** · 07.04.2010, 14:29

Сообщение от lesa111

Этот путь не приводит к интересующему меня процессу ?

Пока вы ищете путь раза 2-3 можно было прочитать правила и сделать логи. Может и увидели бы кто через этот Application Layer Gateway ломится в инет.

alg.exe – служба операционной системы Microsoft Windows. Она является ядром для Microsoft Windows Internet Connection sharing и Internet connection firewall. Также эту службу используют некоторые сторонние межсетевые экраны. В случае завершения работы этой службы, у вас пропадет доступ в сеть Интернет до перезагрузки компьютера. Также служба часто используется сторонними программами, например межсетевыми экранами.
Файл Alg.exе всегда запускается от имени LOCAL SERVICE. Процесс, запущенный от имени другого пользователя может означать о наличии злонамеренных программ на вашем комьпютере.

Файл alg.exe всегда расположен в директории C:\Windows\System32. В других каталогах под именем alg.exe может скрываться троян, вирус или сетевой червь. Например:

* W32.Tufik (%SystemRoot%\alg.exe) – этот вирус автоматически загружает и устанавливает другие злонамеренные программы. Он также заражает другие exe файлы, что может потребовать восстановление Windows после удаления вируса.

Обычно только один процесс с именем alg.exe запущен на системе. Наличие множества запущенных копий свидетельствует о заражении комьютера.
Возможные проблемы с alg.exe:

* Межсетевой экран сообщает о том, что alg.exe пытается подключится к сети интернет. Такое поведение возможно когда одновременно на компьютере запущен сторонний межсетевой экран и Windows Firewall. В этом случае Windows Firewall необходимо отключить.
* Alg.exe слушает на 1025 TCP порту – это нормальное поведение.

**lesa111** · 07.04.2010, 20:25

Уважаемые Гуру !!!
Я ,конечно, преследую цель выловить вирус, но это для меня не главное.

Конечно я могу пойти "СТАНДАРТНЫМ ПУТЕМ" и поймать вирус,используя
стандартные технологии...

Но,мне кажется, что здесь есть возможность оптимизации процесса поиска.

Предположим существует злобный вирус, который используя alg.exe
сливает интересную ему инфо на свой ftp сайт.
(Гипотеза не лишенная смысла в моем случае, не правда ли ?)

Как здравомыслящий человек, я рассуждаю так :

Вот факт вылазки шпиона! Вот я его запеленговал!
Вроде все на лапе...
Что мне мешает его поймать за руку ?
Есть какие то принципиальные ограничения ?

**pig** · 07.04.2010, 22:09

Только скорость света, бритва Оккама и принцип причинности. Ловите.

**lesa111** · 08.04.2010, 07:49

Сообщение от pig

Только скорость света, бритва Оккама и принцип причинности. Ловите.

и поймал !!!

Решение найдено
Рекомендую:

Port Reporter от Microsoft

Оказалось это uTorrent лезет по ftp куда то
при этом всегда активизируется alg.exe

**Inquisitоr** · 11.04.2010, 05:04

Сообщение от lesa111

Port Reporter от Microsoft

Большое спасибо, действительно полезная утилита. Правда, оффсайт майкрософт не открылся, пришлось с секуритилаб качать.
[offtopic]
С тех пор, как пришел на форум, мой "багаж" полезных программ пополнился, чуть ли не вдвое

[/offtopic]

alg.exe лезет на левый IP

Опции темы

alg.exe лезет на левый IP

Похожие темы

левый трафик?..

Левый трафик

Левый svchost.exe

Левый taskmgr

Левый трафик.

Ваши права в разделе