Подозрительная сетевая активность

**bs2003** · 12.09.2010, 17:23

Здравствуйте!
Проблема такого рода. Сетевой экран блирует и показывает, что с этого компьютера идут постоянные запросы по UDP протоколу на порт 123 только на 2 IP 192.168.237.1 и 192.168.21.1 Иногда проскакивает на TCP порты каждый раз разные, но на те же IP адреса. Служба времени настроена на обращение по этому же порту 123 на фиксированный IP 192.168.0.201 и работает нормально.
Если же службу времени остановить, то начинают сыпаться запросы на те же самые 2 IP адреса, но уже на порт 3. Установлен антивирус SEP 11, но он ничего не находит, AVP Tool тоже.
ОС - Windows 2003 Server EE SP2.
Файл virusinfo_syscheck.zip программой AVZ создан не был

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 12.09.2010, 20:34

Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ExecuteRepair(16);
end.

Перезагрузите машину. Больше ничего плохого.

**bs2003** · 13.09.2010, 07:32

Venus Doom,
Shell=Explorer.exe csrcs.exe было мной добавлено вручную (уже убрал) в соответствии с рекомендациями Symantec
http://securityresponse.symantec.com...014-99&tabid=3

Restore the following registry entries to their previous values, if required:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe csrcs.exe"

Потом понял что это они написали то ли с пьяну, то ли с дуру и вернул как было.

Дело в том, что один юзер подключил к сети свой ноут с W32.Harakit, который сразу сделал попытку разойтись по сети. Антивирус его перехватил. Но Symantec написали что нужно еще ручками в реестре править. А сами хрень написали

Скрипт выполнил. Ничего не изменилось. Продолжает ломиться на те же IP.

Машина отвечает за производственный процесс и такая загрузка сети мешает работе.

Что еще может быть?

**thyrex** · 13.09.2010, 15:54

Сообщение от bs2003

Но Symantec написали что нужно еще ручками в реестре править. А сами хрень написали

Посмотрел описание. Там указаны изменяемые вирусом параметры, а не правильные значения

Сделайте лог полного сканирования МВАМ

**bs2003** · 15.09.2010, 15:28

Прошу прощения.
Фразу Restore the following registry entries to their previous values, я понял как восстановить данные реестра к указанным ниже.

Лог Malwarebytes Antimalware прилагается, ничего не обнаружено

**thyrex** · 16.09.2010, 21:23

Ничего необычного в логе

**bs2003** · 16.09.2010, 22:05

Сообщение от thyrex

Ничего необычного в логе

я и сам вижу. Но факт остается фактом. Комп каждую секунду ломится на эти IP. Может какая то программа работающая на нем это делает? Как ее вычислить? Хотя я просмотрел настройки их всех. Ни у одной нет синхронизации времени с инетом. И главное почему "эта программа" при остановке Time Service начинает ломиться на порт 3

**Никита Соловьев** · 16.09.2010, 22:16

Сообщение от bs2003

Как ее вычислить?

Сетевой экран

Подозрительная сетевая активность (заявка № 87733)

Опции темы