Кто-то лезет в инет

[anton_dr]

Комп принесли соседи. Инет идет через нас, чтоит ИСА 2000, на клиентских компах - клиент ИСЫ. Что-то с компа постоянно ломится в инет, и блокирует учетку этого юзера на проксе. Задолбался по 20 раз на дню снимать блок. Поставил по моему совету он Каспера 6го, аутпост, такая же байда, но уже реже - по 5 раз . Щас забрал комп к себе, логи прикрепляю, на ночь запущу еще проверку винта на своей машине.
Нет времени делать все скриптами, сделал по старинке.

[Geser]

c:\windows\system32\fast.exe
c:\windows\system32\taskswitch.exe
Вот эти программы вызывают некоторое подозрение

[aintrust]

Комп принесли соседи. Инет идет через нас, чтоит ИСА 2000, на клиентских компах - клиент ИСЫ. Что-то с компа постоянно ломится в инет, и блокирует учетку этого юзера на проксе. Задолбался по 20 раз на дню снимать блок. Поставил по моему совету он Каспера 6го, аутпост, такая же байда, но уже реже - по 5 раз . Щас забрал комп к себе, логи прикрепляю, на ночь запущу еще проверку винта на своей машине.
Нет времени делать все скриптами, сделал по старинке.

На компе стоит Windows XP PowerToys? Похоже, fast.exe и taskswitch.exe - от него.
А KIS/OPFW ничего не говорят вообще (может, лучше их вместе не ставить, т.к. неплохой файер и в KIS имеется)? Надо бы еще глянуть активные соединения - KIS пишет статистику по всем своим соединениям.
А что в журнале ISA по этому поводу пишется?

[anton_dr]

KIS ничего не говорит, Аутпост что-то есть, нужную инфу не могу выделить. Логи Исы не посмотреть никак.

[anton_dr]

Windows XP PowerToys стоит.

[anton_dr]

Карантин с неопознанными - на ФТП
Результат загрузки
Файл сохранён как virus_445199d630e08.zip
Размер файла 18555104
MD5 5b433b05a4266c23286668af6194e60f


Каспер на моей машине ничего не нашел.

[anton_dr]

В аутпосте в сетевой активности постоянно красным- типа блокирует он исходящие UDP наIP 224.40.1.41 порты 1748, 1024 вроде.

[aintrust]

UDP/224.x.x.x - это мультикастовый адрес, причем из "неизвестных" (IANA, по крайней мере). Обычно это всякого рода трасляции (аудио/видео) по локальной сети (например 1 сервер трансляции + куча приемных станций), т.к. (опять же обычно) на маршрутизаторах мультикасты просто отрубаются (т.е. их передача должна настраиваться отдельно). Также может использоваться в протоколах маршрутизации и т.д. Зачем оно тут и кому принадлежит - вопрос. В качестве примитивного варианта надо постепенно, видимо, отключать (убивать) "неопознанные" процессы и смотреть, как это отразится на сетевой активности.

А OPFW не говорит, от кого идут эти пакеты (от какого приложения, то есть)?

[anton_dr]

Нет, процесс не опознан.
Говорят, началось это примерно две недели назад, с установкой новой "рамблеровской" аськи. Сейчас она деинсталлирована, но эффект остался.

[aintrust]

XP? А если сделать откат на 2 недели назад, чтобы исключить влияние "останков" Аськи?

[anton_dr]

ХР английская, со 2м СП. Откат? Поробуем. Не знаю, включено у них восстановление или нет.

[anton_dr]

Маленько не так дело было. Аська стояла и раньше, просто в тот день на ней включены/или сами включились все дополнительные фишки - Хтраз, пуштутолк и т.п. Точка есть только на момент установки КИС. Откатили, будем посмотреть.

[aintrust]

Может быть, что и аськины фишки эту чехарду устроили, по крайней мере с точки зрения мультикаста это вполне возможно. Но я аьску на этот счет не смотрел - поэтому точно не могу сказать.

[anton_dr]

В общем, нашли они у себя на диске не удаленную Винду, не пользовался ей с год. Пользует ее счас. Вот ведь, не понимаю я - можно ведь потратить день на снос и установку винды и прог, чем ловить такой гимор постоянно.

[aintrust]

Да уж...

[anton_dr]

Гыг. Сейчас встретил хозяина - "Все, добила она меня. Буду переустанавливать."
Хотя я сразу ему говорил - сноси и будет тебе щастье