Показано с 1 по 12 из 12.

Активизация netbios (заявка № 7632)

  1. #1
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63

    Question Активизация netbios

    Не знаю, по адресу ли обращаюсь, т.к. KAV вирусов не находит несмотря на ежедневное обновление своей базы, но в последние 2 дня заметил странную активность netbios в Outpost. Ранее его у меня там не было и, тем паче, он не был столь активен. В данный момент он пытается выйти в сеть с периодичностью 3 раза (+/-) в минуту, чем сильно тормозит систему в целом. Отключил netbios-соединения через OP и торможение снизилось, исходящего траффика не наблюдается, что позволяет заключить, что процесс отрезан от сети, но хотелось бы избавится от самой причины, так что, если сможете помочь - буду очень признателен. Конкретизация проблемы: в OP появились следующие значения во вкладке "Открытые порты":

    netbios NETBIOS_SESSION
    netbios NETBIOS_NS
    netbios MICROSOFT_DS
    netbios NETBIOS_DGM

    Кажется, добавились ещё какие-то новые значения по svhost.
    Данные значения появляются сразу после включения модема (ADSL - кажется так это пишется), но ещё ДО соединения. Вот, собственно, и всё, что могу сказать.

    Надо оговорится, что KAV был установлен ПОСЛЕ выявления данной неполадки и убил несколько троянов в папке Temp eMule. Выдержки из журнала KAV с названиями троянов могу прицепить по требованию.

    Забыл сказать, что стало появляться время от времени сообщение OP об "отражении атаки с адреса..." и далее указан ip-адрес, полученный от провайдера, для прописывания его в свойства соединения.
    Вложения Вложения
    Последний раз редактировалось kakbytak; 24.01.2007 в 15:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Вот инструкция как его отключить :
    http://virusinfo.info/showthread.php...hlight=netbios

    В логах особо интересного не замечено . Разве что мусор от флешгета и яху убрать .Для этого пофиксить в hijack This :

    Код:
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    Последний раз редактировалось drongo; 24.01.2007 в 16:15.

  4. #3
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63
    В свойствах соединения у меня включено только TCP/IP, а со службами заминка вышла: вот это "Обозреватель компьютеров" и это "Модуль поддержки NetBios через TCP/IP" я остановил, но вот такого "TCP/IP NetBIOS Helper" у меня вообще нет. Нет ничего даже близко похожего. Может данная служба может как-нибудь ещё называться?

    Мёртвые ссылки на Yahoo! и пр. в реестре убрал, спасибо. Но проблема с "взбесившимся netbios" всё ещё тут...
    Последний раз редактировалось kakbytak; 24.01.2007 в 16:43.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    http://www.firewallleaktester.com/wwdc.htm

    рекомендуется для использования при отключённом интернете , а так же если есть возможность перед установкой фаэрволов .

  6. #5
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63
    Отключил всё, что касается netbios везде, где нашёл (администрирование/службы, сеть/подключения/свойства, Outpost/Настройки сети), перезагрузился, вошёл, включил модем и сразу в окне OP увидел всё тоже самое. Этого не было ещё пару дней назад и для моего соединения с провайдером вся эта активность не нужна. Кто-то стал загружать данный процесс (???) в память с командой выйти в сеть и что-то сделать. Сделать это самое "что-то" он не может, т.к. его не выпускает OP (а теперь ещё и отключение всех служб данного направления), но в памяти-то он, судя по всему, висит и вышеуказанные локальные порты открывает и в сеть долбится постоянно, что тормозит соединение и общую скорость работы компа. (Правильно, как не тормозить, когда он три раза в минуту в сеть выйти пытается, а OP и пр. его постоянно одёргивают). Что сделать, чтобы найти "откуда", "как" и, главное, "кто" инициирует всю эту ненормальную и ранее отсутствовавшую активность? Возможно, что это и не вирус, но его последствия точно, т.к. объяснить происходящее одной лишь кривизной настроек или рук настраивающего - нельзя. Всё, что лезет в сеть я отслеживаю очень тщательно и пропустить такую кипучую жизнедеятельность никак не мог.

    Сорри за несдержанность, но я хочу конкретизировать. Пока все советы сводятся к отключению netbios. Это не вопрос, отключить можно, но причина проблемы-то никуда не денется. Ведь раньше я сидел и всё было включено, а проблем не было. Значит дело не в том, что что-то надо отключать, а в том, как сделать так, чтобы восстановить status quo без купирования функций компьютера. С какой радости данный процесс стал выполняться на отдельно взятом компе, если ничего нового не устанавливалось, настройки, провайдеры, железо и пр. не менялось? Вирус или вредоносное ПО (или их последствия). Ну так, пожалуйста, помогите их найти. Зачем же так сразу "возьмите молоток"? Эту песню я уже слышал и её мотив мне не нравится. Сорри ещё раз, ежели что.
    Последний раз редактировалось kakbytak; 24.01.2007 в 17:27.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. пришлите по правилам:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\Program Files\Utils\QStart_1_02\start.exe','');
     QuarantineFile('E:\Program Files\Net\GetRight\getright.exe','');
     QuarantineFile('\??\E:\WINXP\system32\drivers\XSpaceWg.sys','');
     QuarantineFile('\SystemRoot\System32\Drivers\Tetri5.sys','');
     QuarantineFile('\??\E:\WINXP\system32\drivers\prodrv03.sys','');
     QuarantineFile('PenClass.sys','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\LIKECDN2.sys','');
     QuarantineFile('E:\WINXP\System32\UxTheme.dll','');
     QuarantineFile('e:\program files\utils\cdspace 4.1\lcdshell.dll','');
     QuarantineFile('e:\program files\utils\cdspace 4.1\ChoiceOS.dll','');
     QuarantineFile('e:\winxp\system32\tablet.exe','');
     QuarantineFile('e:\winxp\system32\ctsvccda.exe','');
    end.
    пререзагрузитесь.
    2. Пофиксите:
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

  8. #7
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63
    Добавил в "карантин" всё указанное, за исключением
    ...\system32\drivers\XSpa ceWg.sys
    ...\Tetri 5.sys
    ...\prod rv03.sys
    ...\LIKEC DN2.sys
    которые ни по списку, ни руками не добавляются. Что делать? Если их отправить "как есть", примите?

  9. #8
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63
    Всё понял, просто там лишние пробелы в путях. Сейчас пришлю

    Отправлено
    Последний раз редактировалось kakbytak; 24.01.2007 в 18:40.

  10. #9
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63
    Вот тут: http://cavernxxx.by.ru/fire.htm , кажется, есть авторское описание проги, действующей по схожему сценарию.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Интересная вещь А батника подобного у вас на компе нету ? Попробуйте в AVZ поискать файлы с форматом bat

  12. #11
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    8
    Вес репутации
    63
    Поискал уже, но ничего особенного не нашлось. Как ни странно, но их всего штук 30 оказалось на 300 Gb пространстве. Думал больше будет. Не факт, что это именно данная программа вредничает. Положил линк просто как пример того, что такое возможно.

    З.Ы.: Оторвать бы руки таким "авторам", чтоб в свободный полёт такие опасные идеи не выпускали...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) kakbytak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вместо DNS-запроса - NetBIOS
      От surok в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.02.2012, 11:08
    2. NetBIOS
      От Boriss72 в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 05.07.2009, 14:20
    3. Атака по NetBios
      От avtozenit1981 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.05.2009, 14:20
    4. Исходящие NETBIOS
      От Kot в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 20.03.2006, 23:11
    5. Как отключить NetBIOS?
      От Geser в разделе Чаво
      Ответов: 0
      Последнее сообщение: 15.12.2005, 23:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00757 seconds with 20 queries