Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Запросы на один и тот же ip (http://forum.oszone.net/showthread.php?t=220945)

shestakow 19-11-2011 17:04 1798812
Запросы на один и тот же ip
 
Доброго дня.
При подключении к интернету Agnitum Outpost постоянно выдает запрос на один и тот же адрес, а именно 224.0.0.22 (тип протокола IGMP). Сперва приходит на ум, что типа это запрос роутера для поддержки мультикаст вещания, НО! Внимание! У меня домой заведены 3 провайдера и при подключении каждого из них запросы на 224.0.0.22 продолжаются. Значит идея с роутером отпадает, т.к. не может быть, чтобы у 3 разных провайдеров были роутеры с одинаковым ip. Второе, что приходит на ум это вирусы. Проводил полную проверку с максимальной эвристикой с помощью avZ, avG, DrWeb curit и встроенным антишпионом от Agnitum - все чисто! Пробывал отключать в msconfig все лишние процессы стартующие при загрузке, оставлял только системные dumprep 0 -k, RunDll32 и op_mon (собственно сам Agnitum) - не помогло.
Еще стОит отметить, что помимо запроса описанного выше, периодически начинаются запросы по протоколу Proto41, но потом "затихают".

Что это вообще может быть и что еще можно сделать?

Система Win XP (SP2)

S.R 19-11-2011 17:28 1798821
Выполните http://forum.oszone.net/thread-98169.html

S.R 25-11-2011 01:26 1802802
Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\f3590e48.tmp','');
 QuarantineFile('C:\Program Files\036b7f37.tmp','');
 QuarantineFile('C:\WINDOWS\System32\netevent.dll','');
 DeleteFile('C:\Program Files\f3590e48.tmp');
 DeleteFile('C:\Program Files\036b7f37.tmp');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Сделайте новые логи AVZ&RSIT
  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

S.R 29-11-2011 23:36 1806036
Не виду Вашего карантина.. Вы его отправляли?

Пофиксите в HJT
Код:
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
  1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы ComboFix. ComboFix может отключить интернет, не переподключайте интернет пока программа не завершит работу. Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной его зависания.
  2. Запустите ComboFix. Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

shestakow 30-11-2011 02:21 1806131
Вложений: 1
Да, карантин отправил.
"O3 - Toolbar..." пофиксил.

S.R 30-11-2011 10:49 1806283
Лог получился неполным. Переделайте его, пожалуйста.

S.R 30-11-2011 16:59 1806593
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
KillAll::

FileLook::


File::
c:\program files\596914b7.tmp


DirLook::


Folder::


Driver::


Registry::


ClearJavaCache::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

shestakow 19-01-2013 03:05 2070082
В прошлый раз, так и не решив проблему, я просто заблокировал этот запрос в файрволе.
Прошел год, купил новый компьютер, подключаю к сети и снова получаю запрос на 224.0.0.22 - стоп, подумал я! Это не может быть вирус, так как Виндовс чистый. Решил погуглить и посмотреть, какую информацию в этот раз поисковики выдадут по поводу этого адреса. В итоге выяснил что запросы это от маршрутизатора IGMPv3 и предназначен для управления групповой рассылки пакетов.

"Windows XP и некоторые операционные системы UNIX поддерживают IGMPv3 (RFC 3376 от 10/2002, см. Рисунок 4). В этой версии предопределенные группы хостов многоадресной рассылки (получателей) могут принимать данные от специализированных хостов (отправителей). На запрос IGMPv3 отвечают все машины в группе. Групповой адрес 224.0.0.22 был веден специально для маршрутизатора IGMPv3."
http://www.osp.ru/lan/2005/12/377592/

"Межсетевой протокол управления группами — Internet Group Management Protocol (IGMP) — используется для поддержания членства в группе многоадресной рассылки. IGMP также используется для согласования работы нескольких маршрутизаторов многоадресной рассылки, что производится путем выбора одного маршрутизатора в качестве «ведущего»."
http://www.upweek.ru/igmp-razreshat-ili-net.html


Время: 09:04.

Время: 09:04.
© OSzone.net 2001-