Добрый день!
Вчера около 19:00 началась странная активность с адреса ПК 192.168.0.20
mikrotik на другом конце VPN поймал сканирование портов от компьютера 192.168.0.20
как оказалось с этого компьютера повсей сети куча обращений идет.... KVRT, CureIT, AdvCleaner, Malwarebytes ничего не находят на ПК стоит лицензионный ESSET ENDPOINT ANTIVIRUS...
Небольшой опыт борьбы с вирусами есть но сам ничего вручную не нашел...
Установил NETLimiter пытаясь вычислить какой процесс занимается этим безобразием.... обнаружил что это идет от имени родного svchost.exe (размер файла и атрибуты такие же как у родного лежит в System32 всмысле нет подмены) что-то через него работает но вот что не пойму...
Заблокировал в NETLimiter (проверял по очереди все запущенные сервисы) входящий и исходящий трафик для "Хост-процесс для служб Windows" сканирование прекратилось.... активность создают похоже именно PID 3040 и 1144 "Сервис: Обнаружение SSDP" и "Сервис: Службы сведений о подключенных сетях"...
Это уже второй такой случай - неделю назад на другом компьютере наблюдалась схожая активность (тут в основном UDP запросы а на первом просто был перебор портов и IP адресов самых разных) ничего не нашел просто переустановил Windows 7..
Пока ПК отключил от сети хочу понять что это и как искать
Причем интересно то, что у меня есть 3 VPN тунеля на разные офисы... так эта гадость ломится в сети 10.0.0.0\24...и 172.23.0.0\24... но почему-то не сканирует третью сеть 192.168.0.0\24 хотя она самая популярная...
Последний раз редактировалось Crystal; 18.07.2017 в 13:58.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Crystal, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пока разбирался странное поведение прекратилось...
и уже 2 дня наблюдаю за этим ПК по всем его обращениям... все в пределах нормы....
Подозрение вызвало огромное (тысячи) количество запросов на 53 порт моего роутера и 8.8.8.8 ...мой DHCP раздает 2 IP DNS - свой и гугла
и при этом ПК только загрузился и ничего не запустили...
Тревогу вызвали обращения компьютера так же на адреса 10.0.1.2 и 10.0.1.4 это DNS и AD другой сети на другом конце VPN тунеля... этот ПК (192.168.0.20) никак не мог знать о их существовании.... кроме как если просканировать подсеть 10.0.1.0\24 .... она доступна через VPN но если знаешь куда стучаться...
Все обновления доставил.... отключил так же SMB1.0 в сервере и клиенте и временно вообще отключил службу "Сервер" на всех ПК
первый случай был иным... тогда с другого компьютера наблюдалось именно сканирование портов переберались все и на разные IP адреса... разных подсетей... сейчас же были только DNS запросы... уж не хакер ли какой влез и развлекается ... думаю всем фаерволы поставить... не знаю что и думать... может они как-то через SSDP снюхались .. и ничего сверхестественного и не произошло...
Ответить с цитированием
... думаю всем фаерволы поставить... не знаю что и думать... может они как-то через SSDP снюхались 