Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевая активность.

Ответить
Настройки темы
[решено] Сетевая активность.

Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip hijackthis.zip
(2.5 Kb, 6 просмотров)
Первый комп выходит в интернет через linux роутер. На роутере запустил tcpdump и обнаружил сетевую активность на порту 13592. С этого порта идет обращение на большое колиество адресов, также различные адреса обращаются на этот порт, например
Код: Выделить весь код
22:06:19.028973 IP 78.106.167.169.2525 > 192.168.0.2.13592: S 1826403630:1826403630(0) win 65535 <mss 1360,nop,nop,sackOK>
22:07:05.998687 IP 192.168.0.2.13592 > 4-124-113-92.pool.ukrtel.net.2136: R 0:0(0) ack 2449642109 win 0
Я не сильно разбираюсь в tcp\ip протоколе, но подозреваю, что так быть не должно.
Порт 13592 переброшен на роутере с внешнего интерфейса на айпи первого компа для торрента, в настройках uTorrent тоже указан этот порт. Но активность эта также происходит и при выключенном торрент-клиенте. В процессах обнаружил btdna.exe, погуглил, понял что эта бяка без моего согласия что-то делает, через установку-удаление снес эту DNA. Также был обнаруже и удален адобовский bonjour. После перезагрузки комп все равно продолжает куда-то ломиться. Как лечить?

Отправлено: 22:18, 22-04-2008

 

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Verd, в логах ничего подозрительного
Если ставили winpcap и он не очень нужен, можете деинстллировать,
Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll
скачайте winsockfix - поможет исправить SPI/LSP (не забудьте записать настройки сети перед тем как применять утилиту), после этого можете пофиксить (если останется) в hijackthis строчку
Код: Выделить весь код
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
Если novell не используете, можете в настройках сетевой карты убрать всё, что связано с novell (напр. клиент для netware, пртокол ipx/spx)
А также отключить не нужные службы и настроить безопасность
Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого не нужно?

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Последний раз редактировалось Pili, 23-04-2008 в 08:36.

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:22, 23-04-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Pili, спасибо, ошибки и безопасность пофиксил. Winpcap поставилось с программой wireshark, которая продолжает показывать активность. На роутере перекинуты различные порты для торрент, dc++ и emule трафика, соединения наблюдаются только на торрент порту. Причем, самое странное, при отключенном торрент-клиенте. Хотелось бы узнать, какой процесс вызывает эти соединения, почему использует именно порт торрента. Специально даже поставил Outpost, но он ничего подозрительного не показывает.

Отправлено: 10:55, 23-04-2008 | #3


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Verd, по логам чисто, попробуйте понаблюдать за откр. портами с помощью netstat или лучше с помощью утилиты tcpview.exe - см. тут, с большой вероятностью порт открывает легальная программа

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Отправлено: 11:10, 23-04-2008 | #4


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

После перезапуска соединения и смены айпи соединения пропали. Судя по всему, обращения были не с моего компьютера, а на него. Наверное после остановки торрент клиента у других пользователей где-то фигурировал мой айпи и они продолжали ломиться.
Вопрос снят, Pili, большое спасибо за советы

Отправлено: 11:59, 23-04-2008 | #5



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевая активность.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Открытие некоторых JPG - непонятная сетевая активность Qu@dr0 Microsoft Windows 2000/XP 1 30-09-2009 12:47
Вопрос - Странная сетевая активность. RW77 Защита компьютерных систем 4 22-06-2009 02:39
Службы - [решено] Исчезла сетевая активность interminable Microsoft Windows 2000/XP 2 26-08-2007 22:13
Сетевая активность WinXP VenomLich Хочу все знать 4 21-05-2005 14:00


« Предыдущая тема | Следующая тема »


 
Переход