Что за зверь не виданный!
 

Собсвенно решил проверить активность сети снифаком и окуел O_0
Валят запросы с разных странн на порт 20442
Скрин
Кто что думает?!
Случаем не вирь овладел провайдером?

Че за сеть, где просмотрел. Айпи давай, все давай. Тогда че нить хоть ясно будет. А так порт непонятный. Кто то нестандартно что то выставил. Жду.

Сеть адсл пров екатеренбурга "Уралсвязь"! а айпи какую роль будет играть в ясности?! :)

Поточней отпишу:
Вобщем винда с нуля троянов нету! проверял при бездействии т.е в нете не че не гружу и не делаю....проверял через прогу CommView
Как видно из скрина идут только запросы что говорит о том что уменя заразы нету..
эта канетель колбасит постоянно!

дак чо ты переживаеш , входящие соединения блокируютса ? исходящие блокируютса по этим адресам хотябы ? Ids пишет поползновение в лог ? Если уж такай параноя закрой ево вообще для всех входящих и исходящих возможно поймёш в чём причина .
Борт в один порт это давольно распространёное явление .

да в чем проблема ставь Firewall и блокируй этот порт

напиши прогу которая будет слушать этот порт и дампить пришедшие пакеты, тогда можно будет делать выводы...

батенька, это конечно хек, но за вас уже давно tcpdump написали, он же windump для windows. Сливать здесь:
http://www.winpcap.org/windump/

karabym, Дампы в студию, пожалуйста.

если речть идёт об udp то согласен, но в случае с tcp если на тачке на которую идут попытки коннекта на этом порту ничего не крутится то мы кроме кучи SYN пакетов нихрена не получим

Тогда вопрос, а что ты хочешь там увидеть? windump нам всё и так покажет. или ты ещё как-то хочешь пакет разобрать?

Да так и есть идут токо запросы на таком порту в винде нечего не стоит....

Всё, вехал что хочет Cr4sh. Пишем серверное приложение, которое будет обрабатывать входящие пакеты.

Хехех вроде вкурил что это за порты!...
А именно:
Щас начались другие запросы на порт 19648 ну и на 20442 тож иногда
так вот вчем прикол лазил в настройках клиента µTorrent оказывается он использует
порт 19648 :) дык в даный момент нечего не качаю через него но качал дня два назад:)
А порт 20442 как я понял относится с клиенту BitComet которым я пользовался раньше :)

Это че за хрень такая получается типа я там все ещо качаю и раздаю как источник :)
и почему так ума не приложу!!!...
Мож я незнаю каких нить особенностей torrents ?!....

поэтому я этим сетям торрентовским и не доверяю :)

порты разные бывают... те что назвали TCP или UDP? Возможно, это какой-то bittorent червь.

Да там фиг разберешь клиенты торрентов ипользую оба протокола...
Но факт остоется фактом муть эта валит оттуда!!!

возможно ты и прав :)

таймаут на inactive видимо в торрете крайне большой, у меня такое же было в edonkey и gnutella.
насчет червя - спорное мнение..

проскань атакующих возможно червь конектитса ко всем компам в сети через клиент . это значит что и они заражены .

Хммм таймаут это как поподробней можно ?!
А толк какой их сканить не пойму ?! да и это не а атака а просто syn запрос походу!
Всмысле клиенты заражены или что ?

т.е. время, с момента закрытия клиента до того, что все остальные считают что ты действительно оффлайн.

karabym машины заражены ! Принцип действия любова червя попадать на машину и пытатса заразить все машины в сети которой она находитса . Что даст ? Да много чево даст вплоть до возымения всех заражённых машин если ты поймёш что это за червь и как он действует .

Ясьненько!

Вот это наверно будет самым сложным :)