Помогите отловить процесс, постоянно ломится в сеть
|
agp
Опытный юзверь
Группа: Пользователи Сообщений: 111 Регистрация: 20.06.2006 Из: Moscow Пользователь №: 182.446
Респектов: 3
Предупреждений:
| Проблема: какой-то процесс постоянно ломится в сеть... Исходящий трафик стабильно держится около 1 МБит/сек., входящего нет. Подскажите, пожалуйста, чем можно вычислить процесс (определил с точностьюдо компьютера) и чем этот процесс убить... Dr Web ничего не нашел, Outpost Firewall тоже не помогает...
Небольшое уточнение... Outpost Firewall теперь не пускает тот процесс в сеть (заблокирован по IP), но сам вирус (или что там может быть) по-прежнему есть... | |
| |
18.06.2007 - 14:19 |
Nebel
профи!
Группа: Наши Люди Сообщений: 924 Регистрация: 20.12.2004 Из: Русь, Усманский уезд Пользователь №: 3.183
Респектов: 338
| Узнай название процесса? -Удали правило для аутпоста, и при попытке доступа в сеть узнай название процесса. -Или пусти его в сеть, и в аутпосте посмотри "Сетевая активность"
Убить можно Process Monitor'ом. Че за АйПи? | |
| |
18.06.2007 - 14:59 |
agp
Опытный юзверь
Группа: Пользователи Сообщений: 111 Регистрация: 20.06.2006 Из: Moscow Пользователь №: 182.446
Респектов: 3
Предупреждений:
| Ломится все время на IP 88.85.65.158, но сомневаюсь, что это поможет... С оутпостом я никак разобраться не могу, как там и что смотреть нормально... Нашел только, где IP блокируются, и все... Если подскажешь, как именно там посмотреть название этого процесса, буду очень благодарен Да, еще - Dr Web стал периодически выдавать наличие трояна... Но при полном сканировании никаких вирусов не нашел... С чего началось, тоже не знаю... | |
| |
18.06.2007 - 15:20 |
Nebel
профи!
Группа: Наши Люди Сообщений: 924 Регистрация: 20.12.2004 Из: Русь, Усманский уезд Пользователь №: 3.183
Респектов: 338
| Похоже на троян, который висит только в памяти. (если полное сканир. ниче не дает). Хотя попробуй посканить Нод-ом https://softoroom.org/topic30936.html-Началось с того, что ты зашел на какой-то интересный сайтик, возможно на тот, у которого этот айпи и есть. -Аутпост: Удали правило блокир. по АйПи. Пусть пойдет в сеть. Потом открываешь основное окно Аутпоста и слева там будет в дереве ветка "Сетевая активность". Там будет список активных соединений. У каждого смотришь в правой панели на каждое соединение строку "Параметр Host из http запроса" и ищешь вышеупомянутый айпишник. Где найдешь - тот процесс и есть вирь (или пораженный вирем) | |
| |
18.06.2007 - 15:38 |
agp
Опытный юзверь
Группа: Пользователи Сообщений: 111 Регистрация: 20.06.2006 Из: Moscow Пользователь №: 182.446
Респектов: 3
Предупреждений:
| Подозреваю, что с какого то интересного сайта... Правда, в журнале интересных сайтов нет... Тем более с тем IP... Да, забыл добавить, с тем компом я знаком первый день, вирус, если верить провайдеру, подцепили в пятницу... (пожаловались на слишком большой объем исходящего трафика). Весело еще то, что антивируса на компе, через который все подключены к инету, не было вообще... Ладно, пока поробую аутпост освоить... Но если будут другие идеи, с радостью выслушаю | |
| |
18.06.2007 - 15:56 |
Nebel
профи!
Группа: Наши Люди Сообщений: 924 Регистрация: 20.12.2004 Из: Русь, Усманский уезд Пользователь №: 3.183
Респектов: 338
| Аутпост можно и не осваивать. Просто удали его полностью (включая сохраненные настройки). А на новом - в параметрах на закладке "Политики" поставь - не создавать правила автоматически. При попытке доступа ЛЮБОГО процесса в сеть он тебе выдаст окошко с инфой. И тут уж смотри, что стоит пускать в сеть, а что нет.
И еще можно поставить Нод32. Они в паре с Аутпостом хорошо работают - за три года (при своевременных обновах) ни одного пропущенного вируса.
Ну и тогда уж вирю и придет THE END | |
| |
18.06.2007 - 21:42 |
agp
Опытный юзверь
Группа: Пользователи Сообщений: 111 Регистрация: 20.06.2006 Из: Moscow Пользователь №: 182.446
Респектов: 3
Предупреждений:
| Завтра попробую... Спасибо за советы... | |
| |
18.06.2007 - 23:58 |
-=freedom=-
Опытный юзверь
Группа: Пользователи Сообщений: 99 Регистрация: 13.06.2007 Пользователь №: 414.448
Респектов: 26
Предупреждений:
| QUOTE(agp @ 18.06.2007 - 14:59) Ломится все время на IP 88.85.65.158 Вот ин-фа про тому IP = 88.85.65.158:inetnum: 88.85.64.0 - 88.85.71.255 "как видно, тот IP входит в выше указанный диапазон IP-адресов"netname: WEBAZILLA descr: WebaZilla country: NL admin-c: WZNL1-RIPE tech-c: WZNL1-RIPE status: ASSIGNED PA "status:" definitions mnt-by: WZNET-MNT mnt-routes: WZNET-MNT source: RIPE # Filtered role: WebaZilla RIPE Manager address: WebaZilla B.V. address: Postbus 19115 address: 3501 DC Utrecht address: The Netherlands phone: +31612253464 fax-no: +31303100299 e-mail: noc@ webazilla.com Я зашёл на их сайт(webazilla.com ),вроде бы компания занимающаяся предоставлением хостинга. | |
| |
19.06.2007 - 9:14 |
agp
Опытный юзверь
Группа: Пользователи Сообщений: 111 Регистрация: 20.06.2006 Из: Moscow Пользователь №: 182.446
Респектов: 3
Предупреждений:
| Информацию об IP-адресе я уже прочитал... Только боюсь, что толку мало будет от этого. Или предлагаешь им написать?
Фокус с оутпостом тоже не прошел (то ли руки неровные, то ли вирус хитрый), оутпост показывает полное отсутствие сетевой активности, хотя по данным винды (и сервера, и провайдера) идет передача данных со скоростью 100 Мбит/сек. (канал полностью загружен). Проблема еще в том, что долго экспериментировать не выходит, так как этот вирус вешает всю сеть здания, как только компьютер подключается к сети... Правда, на другие компьютеры перебраться он не пытается (тьфу-тьфу-тьфу)... | |
| |
19.06.2007 - 9:34 |
Nebel
профи!
Группа: Наши Люди Сообщений: 924 Регистрация: 20.12.2004 Из: Русь, Усманский уезд Пользователь №: 3.183
Респектов: 338
| руткит??? или бот? первое хуже -Выполни команду msconfig и выложи сюда перечень того, что она тебе показала в автозагрузке. Кстати, антивирус тебе какого трояна показывал? | |
| |
|
|