Показано с 1 по 8 из 8.

1026 и 1027 - китайский Ip-спам или вирус? (заявка № 4421)

  1. #1
    Ghost_2003
    Guest

    1026 и 1027 - китайский Ip-спам или вирус?

    1.
    Win XP Prof, SP2.
    P4 3,2 GHz, MB ASUS P5... проблем с hard - нет.
    KAV 5 говорит - вирусов нет,
    Spyware - нет (Outpost Firewall Pro).
    ===
    2.
    Стоит легальный Outpost Firewall Pro ver. 3.0.557.5918 (437)
    Проблема - BSOD (синий экран)
    Выход в и-нет - dialup:
    =
    процесс svchost.exe
    направление IN
    протокол UDP
    удаленный хост 221.xxx.xxx.xxx (китайцы)
    удаленный порт xxxxx
    локальный адрес 82.xxx.xxx.xxx
    локальный порт 1026
    221.10.254.93 UDP (1027)
    221.10.254.93 UDP (1026)
    222.134.45.53 UDP (1027)
    222.134.45.52 UDP (1027)
    222.134.45.52 UDP (1026)
    ---
    Китайский Ip-спам:
    http://forum.codenet.ru/showthread.php?threadid=23946)
    ===
    3.
    Открытые порты:
    OUTPOST.EXE TCP localhost:any 803
    SYSTEM TCP localhost:any 1025
    SYSTEM rawsocket localhost:any 0
    SVCHOST.EXE TCP localhost:any dcom
    SYSTEM gre localhost:any 12032
    SYSTEM UDP localhost:any 445
    netbios TCP localhost:any microsoft_ds
    ===
    P.S.
    Синий экран ругается на USB дрова модема, но
    стоят последняя отлаженная версия ZyXEL, и
    до китайских UDP 1026 с "драйверами" проблем не было.
    Переустановка не помогла.
    ===
    P.P.S.
    К Вам посоветовали обратиться на "Неофициальном русском форуме Outpost Firewall", топик:
    http://forum.five.mhost.ru/showthread.php?t=2717
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для agnec
    Регистрация
    25.01.2005
    Сообщений
    156
    Вес репутации
    79
    для начала надо было чуть внимательнее прочитать правила http://virusinfo.info/showthread.php?t=1235
    там есть "закройте все запущенные программы". у вас их запущено предостаточно и разбираться с каждой что-то не хочется.
    еще один важный момент - комп похоже разогнан (C:\Program Files\ASUS\Ai Booster\OverClk.exe). в этом случае я бы не стал утверждать, что с железом все в порядке. порпобуйте всеже убрать разгон и действовать в полном соответствии с правилами http://virusinfo.info/showthread.php?t=1235
    а я дедушка-лето !

  4. #3
    Geser
    Guest
    Цитата Сообщение от agnec
    для начала надо было чуть внимательнее прочитать правила http://virusinfo.info/showthread.php?t=1235
    там есть "закройте все запущенные программы". у вас их запущено предостаточно и разбираться с каждой что-то не хочется.
    еще один важный момент - комп похоже разогнан (C:\Program Files\ASUS\Ai Booster\OverClk.exe). в этом случае я бы не стал утверждать, что с железом все в порядке. порпобуйте всеже убрать разгон и действовать в полном соответствии с правилами http://virusinfo.info/showthread.php?t=1235
    Да там ничего лишнего не открыто вроде. ПОхоже все резидентные

  5. #4
    Geser
    Guest
    ПО делу, ничего особенного в логах не видно. А входящие соединения на svchost.exe можно вообще запретить. По идее не должно мешать.

  6. #5
    Ghost_2003
    Guest

    Arrow Вирусов нет?

    Спасибо за ответы.
    ===
    "... еще один важный момент - комп похоже разогнан (C:\Program Files\ASUS\Ai Booster\OverClk.exe)."
    Принципиально не занимаюсь разгоном, см. скриншоты на http://ghost-2003.narod.ru/
    ===
    Удалил ветку реестра запуска "Launch Ai Booster" (если не пользуюсь, зачем рюшечки):
    "C:\Program Files\ASUS\Ai Booster\OverClk.exe"
    А так же:
    "TrueImageMonitor":
    C:\Program Files\Acronis\TrueImageEnterprise\TrueImageMonitor .exe
    ===
    Уважаемые, интересно, что живет в компьютере, и открывает порт 12032,
    и ни KAV 5.0.388 Personal PRO, ни Антивирусная утилита AVZ 4.10 не видят
    см. выше и скриншоты на http://ghost-2003.narod.ru/
    Вложения Вложения

  7. #6
    Ghost_2003
    Guest

    Arrow Спасибо за подсказку, посмотрим ...

    Цитата Сообщение от Geser
    ПО делу, ничего особенного в логах не видно. А входящие соединения на svchost.exe можно вообще запретить. По идее не должно мешать.
    Спасибо, создал правило:
    *Блокировать Входящее UDP для SVCHOST.EXE на 1025-65535

  8. #7
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    74
    Вроде глянул. Действительно, системка вроде чистенькая, ничего подозрительного не вижу.
    После цитаты на Форуме Outpost :
    Cлужбу отключил, но китайцы все равно защиту Outpost Firewall пробивают до BSOD (синего экрана).
    , поэтому и возникли подозрения, т.к. при правильных действиях и настройках ОР такого быть не должно, значит что-то сидит внутри и пробивает, поэтому и отправил на этот форум для детального анализа. Сейчас разобрались.
    Значит, как я и говорил, неправильная настройка ручками.
    Далее на http://forum.five.mhost.ru/showthread.php?t=2717&page=2
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Цитата Сообщение от Ghost_2003
    *Блокировать Входящее UDP для SVCHOST.EXE на 1025-65535
    В свое время я потратил большую кучу времени, чтобы разобраться, почему у меня перестал работать Windows Update. Оказалось - именно из-за блокирования входящих соединений svchost. Возникала такая ситуация:

    1. svchost посылает исходящий UDP-пакет со случайного (>1024) порта на 53-й порт DNS-сервера провайдера. Здесь нет никакого криминала, это обычный честный DNS-запрос.
    2. DNS-сервер шлет ответ в виде входящего UDP-пакета на тот самый порт, с которого был отослан запрос. Здесь тоже все честно, это самый обычный ответ.
    3. Файервол этот входящий пакет блокирует. Здесь не все понятно. Чтобы разобраться, почему файервол считает этот пакет входящим, мне не хватает знаний. Возможно, это был баг в файерволе, который я использовал, но, может быть, это просто специфика UDP-протокола.

  • Уважаемый(ая) Ghost_2003, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Китайский вирус
      От Qipe в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 15.12.2009, 18:38
    2. Китайский вирус
      От Krat0S в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 21.11.2009, 17:22
    3. Загадочный китайский вирус или QQey6H.exe
      От Gordon_Shumway в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 07.05.2009, 16:15
    4. Большой Китайский Хак – 2 ?
      От Гриша в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 08.11.2008, 09:11
    5. Китайский вирус
      От Antonnio в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.10.2007, 17:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01444 seconds with 20 queries