-
Кто-то лезет в инет
Комп принесли соседи. Инет идет через нас, чтоит ИСА 2000, на клиентских компах - клиент ИСЫ. Что-то с компа постоянно ломится в инет, и блокирует учетку этого юзера на проксе. Задолбался по 20 раз на дню снимать блок. Поставил по моему совету он Каспера 6го, аутпост, такая же байда, но уже реже - по 5 раз . Щас забрал комп к себе, логи прикрепляю, на ночь запущу еще проверку винта на своей машине.
Нет времени делать все скриптами, сделал по старинке.
Последний раз редактировалось anton_dr; 22.06.2006 в 07:47.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
c:\windows\system32\fast.exe
c:\windows\system32\taskswitch.exe
Вот эти программы вызывают некоторое подозрение
-
-
Сообщение от
anton_dr
Комп принесли соседи. Инет идет через нас, чтоит ИСА 2000, на клиентских компах - клиент ИСЫ. Что-то с компа постоянно ломится в инет, и блокирует учетку этого юзера на проксе. Задолбался по 20 раз на дню снимать блок. Поставил по моему совету он Каспера 6го, аутпост, такая же байда, но уже реже - по 5 раз
. Щас забрал комп к себе, логи прикрепляю, на ночь запущу еще проверку винта на своей машине.
Нет времени делать все скриптами, сделал по старинке.
На компе стоит Windows XP PowerToys? Похоже, fast.exe и taskswitch.exe - от него.
А KIS/OPFW ничего не говорят вообще (может, лучше их вместе не ставить, т.к. неплохой файер и в KIS имеется)? Надо бы еще глянуть активные соединения - KIS пишет статистику по всем своим соединениям.
А что в журнале ISA по этому поводу пишется?
Последний раз редактировалось aintrust; 27.04.2006 в 16:53.
-
-
KIS ничего не говорит, Аутпост что-то есть, нужную инфу не могу выделить. Логи Исы не посмотреть никак.
-
-
Windows XP PowerToys стоит.
-
-
Карантин с неопознанными - на ФТП
Результат загрузки
Файл сохранён как virus_445199d630e08.zip
Размер файла 18555104
MD5 5b433b05a4266c23286668af6194e60f
Каспер на моей машине ничего не нашел.
-
-
В аутпосте в сетевой активности постоянно красным- типа блокирует он исходящие UDP наIP 224.40.1.41 порты 1748, 1024 вроде.
-
-
UDP/224.x.x.x - это мультикастовый адрес, причем из "неизвестных" (IANA, по крайней мере). Обычно это всякого рода трасляции (аудио/видео) по локальной сети (например 1 сервер трансляции + куча приемных станций), т.к. (опять же обычно) на маршрутизаторах мультикасты просто отрубаются (т.е. их передача должна настраиваться отдельно). Также может использоваться в протоколах маршрутизации и т.д. Зачем оно тут и кому принадлежит - вопрос. В качестве примитивного варианта надо постепенно, видимо, отключать (убивать) "неопознанные" процессы и смотреть, как это отразится на сетевой активности.
А OPFW не говорит, от кого идут эти пакеты (от какого приложения, то есть)?
Последний раз редактировалось aintrust; 28.04.2006 в 10:07.
-
-
Нет, процесс не опознан.
Говорят, началось это примерно две недели назад, с установкой новой "рамблеровской" аськи. Сейчас она деинсталлирована, но эффект остался.
-
-
XP? А если сделать откат на 2 недели назад, чтобы исключить влияние "останков" Аськи?
-
-
ХР английская, со 2м СП. Откат? Поробуем. Не знаю, включено у них восстановление или нет.
-
-
Маленько не так дело было. Аська стояла и раньше, просто в тот день на ней включены/или сами включились все дополнительные фишки - Хтраз, пуштутолк и т.п. Точка есть только на момент установки КИС. Откатили, будем посмотреть.
-
-
Может быть, что и аськины фишки эту чехарду устроили, по крайней мере с точки зрения мультикаста это вполне возможно. Но я аьску на этот счет не смотрел - поэтому точно не могу сказать.
-
-
В общем, нашли они у себя на диске не удаленную Винду, не пользовался ей с год. Пользует ее счас. Вот ведь, не понимаю я - можно ведь потратить день на снос и установку винды и прог, чем ловить такой гимор постоянно.
-
-
Да уж...
-
-
Гыг. Сейчас встретил хозяина - "Все, добила она меня. Буду переустанавливать."
Хотя я сразу ему говорил - сноси и будет тебе щастье
-