[решено] Сетевая активность. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Сетевая активность. (http://forum.oszone.net/showthread.php?t=105572)

Сетевая активность.

Первый комп выходит в интернет через linux роутер. На роутере запустил tcpdump и обнаружил сетевую активность на порту 13592. С этого порта идет обращение на большое колиество адресов, также различные адреса обращаются на этот порт, например

Код:

22:06:19.028973 IP 78.106.167.169.2525 > 192.168.0.2.13592: S 1826403630:1826403630(0) win 65535 <mss 1360,nop,nop,sackOK>

22:07:05.998687 IP 192.168.0.2.13592 > 4-124-113-92.pool.ukrtel.net.2136: R 0:0(0) ack 2449642109 win 0

Я не сильно разбираюсь в tcp\ip протоколе, но подозреваю, что так быть не должно.
Порт 13592 переброшен на роутере с внешнего интерфейса на айпи первого компа для торрента, в настройках uTorrent тоже указан этот порт. Но активность эта также происходит и при выключенном торрент-клиенте. В процессах обнаружил btdna.exe, погуглил, понял что эта бяка без моего согласия что-то делает, через установку-удаление снес эту DNA. Также был обнаруже и удален адобовский bonjour. После перезагрузки комп все равно продолжает куда-то ломиться. Как лечить?

Verd, в логах ничего подозрительного
Если ставили winpcap и он не очень нужен, можете деинстллировать,
Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll
скачайте winsockfix - поможет исправить SPI/LSP (не забудьте записать настройки сети перед тем как применять утилиту), после этого можете пофиксить (если останется) в hijackthis строчку

Код:

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

Если novell не используете, можете в настройках сетевой карты убрать всё, что связано с novell (напр. клиент для netware, пртокол ipx/spx)
А также отключить не нужные службы и настроить безопасность

Цитата:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?

Pili, спасибо, ошибки и безопасность пофиксил. Winpcap поставилось с программой wireshark, которая продолжает показывать активность. На роутере перекинуты различные порты для торрент, dc++ и emule трафика, соединения наблюдаются только на торрент порту. Причем, самое странное, при отключенном торрент-клиенте. Хотелось бы узнать, какой процесс вызывает эти соединения, почему использует именно порт торрента. Специально даже поставил Outpost, но он ничего подозрительного не показывает.

Verd, по логам чисто, попробуйте понаблюдать за откр. портами с помощью netstat или лучше с помощью утилиты tcpview.exe - см. тут, с большой вероятностью порт открывает легальная программа

После перезапуска соединения и смены айпи соединения пропали. Судя по всему, обращения были не с моего компьютера, а на него. Наверное после остановки торрент клиента у других пользователей где-то фигурировал мой айпи и они продолжали ломиться.
Вопрос снят, Pili, большое спасибо за советы :)