Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   логи комодо. куда ломится винда? (https://forum.antichat.xyz/showthread.php?t=109932)

eiti 08.03.2009 19:03
логи комодо. куда ломится винда?
 
айпишники китай, венгрия, Воронеж. это кто-то неуловимый в системе живет или чего?
http://s53.radikal.ru/i142/0903/1d/57234ac5453ct.jpg

mr.The 08.03.2009 19:52
У тебя ещё наверно стоит антивирус, который мониторит трафик? Комодо зачастую его так и обзывает "Windows Operation System". Я пока правило для него не настроил он проги лезущие в инет не палил. Попробуй, когда видиш что это "что-то" полезло, посмотреть Active Connections. Увидиш левый процес, там уже и путь до него узнаеш. И незабудь просканить систему антивирем.

eiti 08.03.2009 20:14
да, стоит и мониторит. систему просканировал - ничего нету. фаервол вроде нормально настраивал. окошко не всплывает когда оно лезет.
просто непонятно что и зачем просится в китай или в воронеж. м?


если представить что это журнал попыток просканить порты тогда все становится понятным

mr.The 08.03.2009 21:50
ты торренты не юзаеш? у меня он переодически режет некоторые подключения торрента. хз с чем связано.

eiti 08.03.2009 22:01
юзаю, но сейчас выключены. включение/отключение программ ясности не внесло.

nonamez 08.03.2009 22:06
мож ддос бот какой? а одминка стоит на абузном хосте в китае....

eiti 08.03.2009 23:29
вот я и очкую от разных "может быть"
когда отключаю интернет логи перестают обновлятся.

eiti 09.03.2009 23:14
ну вот и докопался наконец.
http://s53.radikal.ru/i140/0903/7b/0129da12e6a5.jpg
Цитата:
Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe».

Троянец создает ключ реестра, в котором хранит свои настройки:

[HKLM\SOFTWARE\Microsoft\MSSMGR]

После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл.

Деструктивная активность

Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия:

* получать список процессов;
* запускать/останавливать различные процессы;
* получать список Dialup-соединений;
* просматривать последовательнось нажимаемых пользователем клавиш.
подробнее
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=148427
http://www.softboard.ru/lofiversion/index.php/t30047-500.html


Цитата:
появился после запуска исполняемого файла, который, скорее всего, был загружен к тебе на компьютер благодаря эксплойту и уязвимости браузера.
как нашел: снес комодо, поставил аутпост и запустил полную проверку. AVZ, Dr. Web Cureit, Avast не находил.

правильно настроеный фаервол не дал уйти разным вкусностям.

вывод: без фаервола жить нельзя :)


Время: 19:59