Троян?

[Oleg M.]

Народ, помогите!

поставил на днях файрвол и тот в логах отражает что ко мне постоянно с разных IP 213.22.xxx.xxx постоянно ломятся. иногда оттуда же порты щупают. Стянул прогу для TCP/UDP мониторинга - та выдает что мой ком после подключения к инету отсылает на 213.22.xxx.xxx пакеты по 50 байт. раз пять-десять, после чего ко мне начинают ломиться. Процесс что отсылает - system, иногда services а еще был разок и spoolsv отправлял туда что-то...

AVP со свежим набором баз ничего не продетектил.
какой-то Троян-сканер прошарил все .ini, реестр и ничего не нашел.

В общем стенка все эти запросы блокирует, но (полагаю именно из-за этих запросов) на простое компа генерится трафик 1-2мб в час. что при цене 2р/mb и постоянном подключении меня разорит.

что посоветуете?

[DrIQ]

Oleg M. возможно DIVX pro бесплатный - он с ADWARE системой баннеров ставится.

[Oleg M.]

никаких сторонних процессов в памяти нет - я все приложения повыгружал.

[Oleg M.]

все не так просто. "точного IP" нету - там рандомные вариации на тему от 213.22.0.0 до 213.22.255.255.

да и что мне сканирование даст?. у меня была мысль отрубить файрвол и посмотреть с каким приложением/процессом коннект установится . но стремно.

[zic]

Oleg M.
Отключи в фаере всю подсеть 213.22.0.0
ПРосканируй комп на AdWare и различны шпионы .
Посмотри кому принадлежит этот диапазон .

[ZEUS]

что за FW установлен??? может ли он показать, какое именно приложение жрет трафик??? В конце-концов есТь команда ping -a 213.22.xxx.xxx - и можно )с долей вероятности ( узрить DNS-имя получателя... А еще есть прога commview - показывает кто куда и с каким трафиком лезет :-) )IP, порты, DNS-имена, весь трафик, поддержка dial-up и LAN-адаптеров, и даже русский для особых ценителей...(

[Oleg M.]

ZEUS ZoneAlarm. трафик он не показывает. ping-ом можно пощупать те адреса, но что толку? они каждую минуту разные и в 80% случаев DNS-имена у них a213-22-140-42.netcabo.pt (140-42 это в качестве примера).

[LSL]

Oleg M.
Проверь систему антивирусом обновлённым !

[ZEUS]

мда, поставь себе McAffee Desktop FW или OutPost - все как на ладони будет )трафик(. Ось у тебя наверное w2k? А сервисы какие запущены? А так -правда - обнови антивирь и проверь ВСЮ систему.

ZEUS добавил [date]1068070289[/date]:
мда побывал я там - трафик и правда охрененный... )порядка 50кб в сек( забил я его себе в intruders и он прикрылся %-)
а вообще поставь себе нормалантивиРь - вот я McAffee два года юзаю и ни одного вируса... скорость работы - Касперский со своей колымагой отдыхает...Хотя уже сколько атак было на мою тачку %-)

[Aliance]

А у меня похожая лабуда:
Вот с этих адресов сначала идут пинги, потом попытка соединиться с каким-нибудь портом, потом возникает попытка установить исходящее NETbios-соединение. Все это блокируется, но достает морально, да и непонятно как-то: последовательность событий и наличие какого-то трафика настораживает.
Началось это дело примерно в конце августа, до этого никаких исходящих и попытки не возникало, хотя сканирование 17300 порта сутками с разных сторон, в т.ч. и воронежских. А сейчас про этот порт забыли, зато вот такая лажа началась.
Странно, но ничего лишнего не ставил, машина чистая и пропатченная Win2000Server+SP4, наворотов никаких, из прог - DirectX 8.1, Opera, TheBat и офис XP. Стенка - Agnitum Outpost. Пара твикеров еще - MagicTweak и Customizer.

IP :
80.80.7.113 80.81.32.5 80.81.33.11
80.81.35.227(эта гнида опознаваемые атаки регулярно проводит)
212.59.7.210 218.190.32.66 195.158.93.136
213.180.193.87 81.19.66.20 80.83.132.76
Их гораздо больше (только записанных более 100) и повторяются незакономерно, но постоянно.
Прокси, в основном...

У меня смутное подозрение на две штучки - на MS заплатку для защиты RPC и утилитку от Nortona для удаления blastera... Или SP4... Или трактовка всего этого неправильная...
Все предыдущие советы не меняют ситуации. Может, еще есть мнения?

[Oleg M.]

LSL,ZEUS как только просек эти нездоровые моменты - обновил базы и проверил всю систему. был I.Worm в msblast (красиво, да) и его залечили. сейчас уже неделя как все в норме, а все равно ломятся. может они по старой памяти пытаются пробиться.

второй момент. поставил CommView. по ip-трафику особых подозрений ничего не вызвало, но трафик TCP/UDP пакетов выдает что около 80% пакетов идут как boardcast (не ко мне и не от меня). Были замечены нездоровые пакеты ARP_REQ на первичный DNS с запросоми про уже известные мне 213.22.x.x, 66.106.x.x... но CommView не показывает какой процесс отправлял эти запросы. И последне по CommView - он не может прицепиться к сетевой карточке пока она отключена. а после включение карточки (соединение с нетом), запуска commview и логирования запросов скорее всего самые первый и самые важные запросы не успевает захватить.

вот такая бадяга...

ZEUS сервисы какие запущены
тут вопрос сложный. в администрировании/сервисы показаны лишь часть сервисов (все что мне казалось лишним и подозрительным отрубил). но есть еще в реестре (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services) около 50 сервисов которы в панели администрирования не отображаются (что наверное хорошо), но и среди них есть подозрительные.

[Oleg M.]

Что за ***!!! всплыло pop-up (не IExporer) "Служба сообщений". сообщение от Merlin Holiday для 213.255.255.255 и там всякий бред... отрубаю нафиг эту службу..

в комментариях к службе:
Посылает и получает сообщения, переданные администраторами или службой оповещений.. это ж что за такой администратор на www.merlinholiday.com сидит?!.

[brom]

а это буржуйская реклама. по net send'у. мне про обучение в каких то там университетах приходило. прибивайте 137-445 :Р