Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Какая то служба или все-таки вирус ? (http://forum.oszone.net/showthread.php?t=208651)

korsh 10-06-2011 07:20 1691848
Какая то служба или все-таки вирус ?
 
Привет.
Windows 7 Home Premium 64bit
Начал замечать в логах роутера, что с мой компьютер время от времени пытается лезть на непонятные IP адреса.

Часть лога с роутера:
Код:
[INFO]        Fri Jun 10 09:01:27 2011        Dropped packet from 192.168.1.2 to 194.226.146.5 (IP protocol 6) as unable to create new session
[INFO]        Fri Jun 10 09:01:27 2011        Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)
[INFO]        Fri Jun 10 09:01:21 2011        Dropped packet from 192.168.1.2 to 194.226.146.5 (IP protocol 6) as unable to create new session
[INFO]        Fri Jun 10 09:01:21 2011        Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)
[INFO]        Fri Jun 10 09:01:18 2011        Dropped packet from 192.168.1.2 to 194.226.146.5 (IP protocol 6) as unable to create new session
[INFO]        Fri Jun 10 09:01:18 2011        Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)
Погуглив, выяснил, что это делает так называемый Host Procces For Windows Services, в простонародье c:\windows\system32\svchost.exe, в логах касперского входящий\исходящий трафик - 340\710 мб :o
Сканирование всеми возможными антивирусами результата никакого не дали, гугл подсказал, что возможно это может быть связано с работой службы "Фоновая интеллектуальная служба передачи (BITS)", отключил, нечего не поменялось.
В данный момент спасаюсь от кары одмина, забивая диапазоны IP адресов в сетевой экран касперыча :( Ломиться стало меньше, но не перестало, все равно время от времени всплывают новые IP

Что посоветуете ?:(

з.ы. Да, а что есть "Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)" ?

Зашел только что на вкладку "Internet Sessions" в роутере и офигел :o Это начало и конец лога. И между ними еще раз 20 по столько же.

Это штозанафик ?

okshef 10-06-2011 08:15 1691861
korsh, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи.

To Mods. В случае отсутствия поводов для беспокойства, перенесите в Windows 7, пожалуйста.

korsh 10-06-2011 09:34 1691901
Прикрепил логи.

Vancouver 10-06-2011 10:19 1691931
Цитата:
Цитата korsh
з.ы. Да, а что есть "Internet access port filter dropped packet from 192.168.1.2 to 0.0.194.102 (protocol 3269628421)" ? »
Ломится сюда http://www.e1.ru/
http://www.sitetrail.com/e1.ru

korsh 10-06-2011 11:42 1691996
Цитата:
Цитата Vancouver
Ломится сюда
Мне больше интересно, почему ip в таком странном виде (0.0.194.102) и что за странный № протокола (protocol 3269628421) :)

Vancouver 10-06-2011 11:50 1692000
Цитата:
Цитата korsh
и что за странный № протокола (protocol 3269628421) »
http://servisator.ru/service/ip/info/194.226.146.5

korsh 10-06-2011 11:56 1692005
Спасибо, растолковали.

з.ы. По поводу 1го сообщения: удалил ipv6, путем добавления параметра в реестре (на этом сайте инструкция была) - вроде ломиться перестало.. Но темнеменее жду, пока кто-нибуть прокомментирует логи :)

SolarSpark 10-06-2011 16:01 1692151
korsh, привет

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Если не ставили стартовой страницей в браузере
Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.searchcompletion.com/?si=10197&home=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=audio&s={searchTerms}&f=4
Если не добавляли сами записи в файл Hosts
Пофиксить в HijackThis следующие строчки:
Код:
O1 - Hosts: 127.0.0.2 custom-host
O1 - Hosts: 127.0.0.2 www.custom
O1 - Hosts: 127.0.0.2 custom
Если не ваши настройки в прокси
Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*.*;test1.ru;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy3.sowa.ru:3128

Если домен Domain = sowa.ru вам не знаком
Пофиксить в HijackThis следующие строчки:
Код:
017 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sowa.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sowa.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sowa.ru
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
___________________________________

korsh 12-06-2011 09:12 1692984
SolarSpark, привет, спасибо за рекомендации!
Лог прикрепил, нечего интересного в нем нет: только кряки и radmin :(

SolarSpark 12-06-2011 09:27 1692988
все в порядке? :)

korsh 12-06-2011 09:54 1692994
Судя по логам - да :)

Включил сейчас протоколирование правил для отчета в KIS - на заблокированные адреса система продолжает лезть.
Про некоторые из них кое-что сказал гугль: чтото пренадлежит Adobe, чтото самому Гуглу, чтото microsoft.. По протоколу UDP лезет на 2001 внешний порт, по TCP - на 443.
Причем раньше такого не наблюдалось, одмин на прошлой неделе только активность эту увидел.
Какбэ нет сомнений в том, что это все таки не вирус, просто понять хочется, чего системе то надо :unsure:

iskander-k 12-06-2011 10:27 1693008
Цитата:
Цитата korsh
чтото пренадлежит Adobe, чтото самому Гуглу, чтото microsoft.. »
Установленное ПО проверяет доступность обновлений у своего производителя.

korsh 12-06-2011 15:18 1693148
Тоже так думал.
Но так же не бывает, что прям ВСЁ ПО одновременно начинает это делать! Там по 3 обращения в секунду было на разные ip-адреса.
Да и раньше такого не было, говорю же.


Время: 06:21.

Время: 06:21.
© OSzone.net 2001-