Показано с 1 по 16 из 16.

Исходящие NETBIOS (заявка № 5012)

  1. #1
    Kot
    Guest

    Исходящие NETBIOS

    Помогите с проблемой:
    Комп с постоянным подключением и IP и файерволлом Outpost(NETBIOS запрещены) периодически(от раза в сутки до раза в минуту) подвергается сканированию портов UDP в диапазоне 1025-1031 (количество просканированных портов каждый раз по разному когда 1026-1027, когда 1025-1031).Outpost попытки соединения благополучно блокирует, но в ту же или след секунду после скана NETBIOS пытается установить исх соединение с узлом нападавшего на порт 137, которое тоже блокируется OUTPOST. в журнале разрешенных соединений ничего особо непристойного не происходит. Логи по правилам прилагаю. Заранеее спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Пришлите (по правилам, через специальную форму) следующие файлы:
    WService.EXE
    C:\WINDOWS\System32\DRIVERS\WtSrv.exe
    Искать тоже по правилам, через AVZ.

  4. #3
    Kot
    Guest
    Закинул через форму. Оба файла-из комплекта драйверов планшета от Genius

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Значит, не угадал

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    В порядке бреда:
    C:\WINDOWS\System32\drivers\ds1410d.sys
    MxlW2k.sys
    C:\WINDOWS\System32\Drivers\TSKNF400.SYS
    C:\WINDOWS\System32\PCANDIS5.SYS

  7. #6
    Kot
    Guest
    Смогу закинуть только вечером-постараюсь пораньше

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    BTW, а IP атаки меняется? В каком диапазоне?

  9. #8
    Kot
    Guest
    IP атак меняются-примерно раза 3-4 в сутки. Бывает, атакуют парами. Диапазон изменений : от 6.ХХ.ХХ.ХХ до 206.XX.XX.XX (за точность цифр IP сейчас не ручаюсь, вечером смогу скинуть точные выдержки из ЛОГ'ов, если надо).Недели 2 назад, используя Window ый аудит безопасности(включив подробное отслеживание успехов и отказов в доступе к объектам) смотрел, кто же пытается установить исх через NETBIOS-показалось-explorer.exe (но опять же- 100% не ручаюсь)

  10. #9
    Geser
    Guest
    C:\WINDOWS\System32\twext.dll тоже мжно прислать

  11. #10
    Kot
    Guest
    Для Pig: файлы скинул
    Для Geser: А вот twext.dll в System32 и не находится то...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Попробуйте в свойствах TCP протокола на закладке WINS убрать Netbios поверх TCP.

  13. #12
    Kot
    Guest
    Убрал вчера, за сутки- ни одного исх соединения Netbios.Но: такое уже бывало(активность пропадала и на неск дней) и все-таки что-то в компе сидит ? (ведь не было разрешенных соединений с узла атаки, но попытки ответа по Netb на него начинались)

  14. #13
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    74
    NETBIOS запрещены
    Вы видать (я не телепат, я только учусь) запретили его в самом ОР. А сам нетбиос как протокол присутствует в системе. Это видно. Как прибить нетбиос описывалось где-то здесь на форуме. Или вот здесь - http://forum.five.mhost.ru/kb2/ - почитайте все вопросы, касающиеся нетбиоса - где-то там я прописывал как полностью прибить нетбиос отключением служб винды, отвечающих за этот протокол и т.д., вот только тогда исходящих по нетбиосу и не будет вообще.
    подвергается сканированию портов UDP в диапазоне 1025-1031
    На первый взгляд - это обычное явление в сети как скан портов. В какое время проявляется этот скан. Когда просто машина стоит или Вы в это время что-то делаете на машине и т.д. А вообще, откройте журнал ОР. Логи "История заблокированных" - фокус мышки - меню вид - добавить и удалить столбцы - проставить все галочки. Так инфы будет больше. Затем опять фокус мыши - правая кнопка ее - экспортировать. Файл прикрепить сюда на форум.
    А так, вроде из логов, присланных ранее, я ничего подозрительного пока не вижу, хотя есть варианты...
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  15. #14
    Kot
    Guest
    Выдержки из логов запрещенных и разрешенных соединений прицепил-характерные куски за одно и то же время. В это время комп стоял или игрушка вертелась. Характерная последовательность в логе заблокированных(как раз и вызавающая беспокойство): 17:14:10 - заблокированные ОР вх соединения с адр 60.15.15.199(порты с 1025 по 1029), 17:14:13 - попытка исх нетбиос на тот же адрес. При этом на компе существует только 1027 и тот закрыт ОР в режиме блокировки. Повторение этих событий не зависит от набора запущенных задач и может происходить и на просто включенном компе.Мне кажется, что это поведение считалки не совсем правильное, макс что она должна сама- это широковещ пакеты разгонять по подсети. Нетбиос убить несложно, но хочется понять, что происходит
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    74
    Судя по логам ОР у Вас нормальное явление, сетевой шум просто. Можете не беспокоиться.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  17. #16
    Kot
    Guest
    Спасибо всем кто откликнулся. Вопрос закрыт

  • Уважаемый(ая) Kot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. NetBIOS
      От Boriss72 в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 05.07.2009, 14:20
    2. Атака по NetBios
      От avtozenit1981 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.05.2009, 14:20
    3. Исходящие соединения на 25-й
      От freeloader в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.10.2008, 15:10
    4. Исходящие сообщения
      От McLean в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.10.2008, 19:27
    5. Как отключить NetBIOS?
      От Geser в разделе Чаво
      Ответов: 0
      Последнее сообщение: 15.12.2005, 23:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00534 seconds with 20 queries