|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » [решено] Как убить гаденыша, что душит трафик интернета |
|
|
[решено] Как убить гаденыша, что душит трафик интернета
|
|
Пользователь Сообщения: 99 |
Один комп (myComp) грузит и-нет. Самым бессовестным образом. Проверял старым Касперским, потом удалил его. AntiVir, Ad-Aware SE Personal, все что было найдено, было вычещено, но безрезультатно. В ветках реестра RUN – мусора не обранужил. Трояна-прокси из соседней ветки также не обнаружил. Соединения инициализируются через SVCHOST.EXE Соединения постоянно инициализируются, недолго живут и удаляются.
TCP myComp:1042 196.221.36.72.reverse.layeredtech.com:http TCP myComp:1043 reverse41.reserver.ru:8080 TCP myComp:1044 reverse41.reserver.ru:8080 TCP myComp:1045 reverse41.reserver.ru:8080 TCP myComp:1046 reverse41.reserver.ru:8080 TCP myComp:1048 reverse41.reserver.ru:8080 TCP myComp:1049 reverse41.reserver.ru:8080 TCP myComp:1050 reverse41.reserver.ru:8080 TCP myComp:1051 reverse41.reserver.ru:8080 TCP myComp:1052 reverse41.reserver.ru:8080 TCP myComp:1055 reverse41.reserver.ru:8080 TCP myComp:1056 reverse41.reserver.ru:8080 TCP myComp:1057 reverse41.reserver.ru:8080 TCP myComp:1058 reverse41.reserver.ru:8080 TCP myComp:1059 wnpgmb02-esmtp.mts.net:smtp TCP myComp:1060 mta-v8.mail.vip.mud.yahoo.com:smtp TCP myComp:1062 smtp.secureserver.net:smtp TCP myComp:1064 ff-mx-vip2.prodigy.net:smtp TCP myComp:1065 91.150.80.3:smtp TCP myComp:1067 69.39.100.26:smtp TCP myComp:1071 207.230.136.65:smtp TCP myComp:1073 mta-v8.mail.vip.mud.yahoo.com:smtp TCP myComp:1074 72.3.135.151:smtp TCP myComp:1075 reverse41.reserver.ru:8080 TCP myComp:1076 reverse41.reserver.ru:8080 TCP myComp:1077 reverse41.reserver.ru:8080 TCP myComp:1078 reverse41.reserver.ru:8080 TCP myComp:1079 reverse41.reserver.ru:8080 TCP myComp:1080 reverse41.reserver.ru:8080 TCP myComp:1084 65.24.7.13:smtp TCP myComp:1086 mta-v8.mail.vip.mud.yahoo.com:smtp TCP myComp:1087 reverse41.reserver.ru:8080 TCP myComp:1088 reverse41.reserver.ru:8080 SVCHOST.EXE:980 TCP myComp:1041 213.200.109.26:http как отловить подлеца? |
|
|
Отправлено: 12:59, 01-03-2007 |
Ветеран Сообщения: 7315
|
Профиль | Отправить PM | Цитировать Barit Файерволлом отсечь (запретить соединение с инетом)
|
|
------- Отправлено: 13:10, 01-03-2007 | #2 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать Цитата:
Коннект инициализируется похоже с плавающего порта, а родительский процесс не выявил, он обозначается как <non-existent> "не существующий?" |
|
|
Отправлено: 14:03, 01-03-2007 | #3 |
|
Ветеран Сообщения: 849
|
Профиль | Отправить PM | Цитировать Barit
А как насчёт антивирусов?? Тот же Касперский 6 может конкретно регулировать сетевую активность кадждого процеса. |
|
Отправлено: 14:36, 01-03-2007 | #4 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать Цитата:
tasklist /fi "PID eq 236" и так по всем pid'ам. что подозрительно - смотреть подробно: tasklist /svc /fi "PID eq 236" & tasklist /m /fi "PID eq 236" не поможет так - processexplorer от руссиновича. Пойду этим путем, может и найду гаденыша, но это уже завтра. |
||
|
Отправлено: 17:26, 01-03-2007 | #5 |
Человек Сообщения: 3321
|
Профиль | Отправить PM | Цитировать Barit
А ты лог чего привел? И почему в нем не видно направления соединнения? И каким экраном ты смотре активность, что "процесс не существует"? Если исходить из логики и того, что экран ловит нормально, то это входящие соединения. А тогда надо просто их запретить. Зачем тебе входящие? Или ты что-нить в пиринговом клиенте расшарил, дык тогда он наверное и грузит. пока сложно что-то сказать без нормального лога сетевого экрана |
|
------- Отправлено: 22:30, 01-03-2007 | #6 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Такие вещи легче предотвратить чем лечить.
Правило номер один: фаервол должен разрешать лишь необходимый минимум типов трафика Правило номер два: хосты должны иметь минимум доступа в интернет минуя прокси. Правило номер три: хост доступный извне (даже за NAT, даже по порту, даже по Port Mapping), должен быть максимально изолирован от основной сети (вне домена, win-службы отключены, лучший вариант - отдельный сегмент сети с фильтрацией трафика ) Была такая шикарная книжка в свое время: "Создание узлов бастионного типа на основе Windows 2000" |
|
------- Отправлено: 09:12, 02-03-2007 | #7 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать вот два netstat -no с интервалом в три минуты:
TCP 127.0.0.1:1026 127.0.0.1:18350 ESTABLISHED 1644 TCP 127.0.0.1:18350 127.0.0.1:1026 ESTABLISHED 1752 TCP 192.168.1.3:1032 72.36.221.196:80 ESTABLISHED 236 TCP 192.168.1.3:1309 192.168.1.4:139 TIME_WAIT 0 TCP 192.168.1.3:1343 192.168.1.7:139 TIME_WAIT 0 TCP 192.168.1.3:1398 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1399 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1400 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1401 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1402 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1403 66.36.243.91:8080 SYN_SENT 236 TCP 127.0.0.1:1026 127.0.0.1:18350 ESTABLISHED 1644 TCP 127.0.0.1:18350 127.0.0.1:1026 ESTABLISHED 1752 TCP 192.168.1.3:1032 72.36.221.196:80 ESTABLISHED 236 TCP 192.168.1.3:1684 192.168.1.7:139 TIME_WAIT 0 TCP 192.168.1.3:1960 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1961 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1962 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1963 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1964 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1965 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1966 66.36.243.91:8080 SYN_SENT 236 TCP 192.168.1.3:1967 66.36.243.91:8080 SYN_SENT 236 Да, легче было предотвратить. В дополнение: ОС WinXP SP1, обновления были отключены, файрвола небыло, выходили под "администратором", сидящий за ним человек и с Вордом толком незнаком. Подключение через модем ADSL, в нем NAT, файвола нет. Прокси нет. Вполне предсказуемый результат. Переустановка до SP2 результата не дала. Чудес не бывает. |
|
Последний раз редактировалось Barit, 02-03-2007 в 09:38. Отправлено: 09:13, 02-03-2007 | #8 |
|
Пользователь Сообщения: 99
|
Профиль | Отправить PM | Цитировать Прибил подлеца!!!
Но сначала мои слова благодарности http://rku.xell.ru/ за их утилиту предназначенную для поиска руткитов. Большой им памятник шоколадный. Итак с помощью вышеуказанной утилиты в закладке "Детектор скрытых процессов" снимаем Protector.exe, утилита выдает крутое предупреждение, что можем крахнуть систему. Смело продолжаем. Следующим этапом в закладке "Детектор и снятие перехватов" снимаем все, что касается Ntio256.* Кстати они помечены как "перехватчики", что облегчает поиск. С помощью утилиты сделана главная работа, она больше не нужна, дальше рутина. Теперь становятся доступными в обычном поиске файлы: ntio256.sys и protector.exe Убиваем. Запускаем редактор реестра, ищем ветки HKLM\System\ControlSet*\services\ntio256 * - потому как для каждого пользователя своя ветка, а в моем случае он прописался всем. УБИВАЕМ. Перегружаем компьютер. Все. |
|
Отправлено: 12:16, 02-03-2007 | #9 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Службы - [решено] как навсегда убить автоматическое обновление XP? | Djedai | Microsoft Windows 2000/XP | 30 | 25-12-2013 03:15 | |
| [решено] Помогите. Как убить вирус по активации Windows?! | Soyer888 | Лечение систем от вредоносных программ | 50 | 22-05-2009 15:58 | |
| трафик интернета | aska2013 | Хочу все знать | 2 | 16-11-2008 20:32 | |
| Что за паразитный трафик? | truvo | Хочу все знать | 17 | 20-05-2008 13:30 | |
| [решено] Как убить www.apeha.ru? | Влачер | Лечение систем от вредоносных программ | 26 | 03-04-2008 12:41 | |
|
|
Время: 09:17. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
