Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Странная сетевая активность + странное поведение Opera |
29.02.2008, 03:25
|
|
Познающий
Регистрация: 23.03.2006
Сообщений: 32
Провел на форуме:
36961
Репутация:
0
|
|
Странная сетевая активность + странное поведение Opera
Приветствую всех, кто читает этот топ.
Если запостил не в тот раздел, просьба к администрации перенести топ
Столкнулся с непонятной для меня проблемой, поэтому решил задать вопросы здесь. Суть вот в чем.
Вопрос №1 Зашел через Opera (v 9.26) на google.com и решил поискать интересующую меня инфу. Когда Google выдал результат поиска, первые несколько (по-моему пять) ссылок были подсвечены цветом как будто я их уже посещал в данной сессии. При попытке перейти по этим ссылкам браузер открывал не их, а страницу с теми же результатами поиска, которые выдал Google. Кэш Opera был полностью очищен. Перезагрузил комп, почистил кэш снова, запустил Mars WinCleaner и повторил поиск. Та же история.
Вопрос №2 Решил посмотреть сетевую активность с помощью TCP Viev. И увидел вот такие странные, на мой взгляд, соединения:
[System Process]:0 TCP comp:2090 70.130.174.99:48363 TIME_WAIT
[System Process]:0 TCP comp:2106 24.63.79.216:54069 TIME_WAIT
[System Process]:0 TCP comp:2095 70.240.197.90:4555 TIME_WAIT
Под comp понимается мой внутренний IP от прова вида 10.*.*.*
Насторожило то, что сетевой эктан KIS (v 7.0.1.325) эту активность не фиксировал. Проверка компьтера антивирусом (тем же KIS) ничего не выявила.
Возможно вопросы кому-то покажутся глупыми. Но все же прошу знающих людей ответить, что то может быть. |
|
|
29.02.2008, 03:38
|
|
Banned
Регистрация: 08.04.2005
Сообщений: 446
Провел на форуме:
2187381
Репутация:
518
|
|
Вопрос 2.
похоже на червяка.....
сетевой экран, если ты его конфигурировал на "уровне приложений"..... и не мог ничего показать , наверняка для system ты уже открыл права.
..... но судя по совместным симптомам..... с вопросом 1
Adware
продолжай.... всего скорее окажется "лишняя" dll-ка у винлогон.
Последний раз редактировалось Delimiter; 29.02.2008 в 03:42..
|
|
|
|
29.02.2008, 08:22
|
|
Познающий
Регистрация: 23.03.2006
Сообщений: 32
Провел на форуме:
36961
Репутация:
0
|
|
Delimiter,
извиняюсь за глупый вопрос, но как узнать, какая именно DLL-ка лишняя? Смотрю список DLL winlogon.exe. Их там 81.
|
|
|
|
29.02.2008, 10:02
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
Провел на форуме:
1845062
Репутация:
1079
|
|
Недавно тут продавали троян, который подменяет результаты поисковиков. Может это он как раз?  Можно попробовать его обмануть. Попробуй написать в файл hosts
Код:
72.14.221.104 asdffdsa.ru
И при заходе на asdffdsa.ru ты окажешься в гугле. Возможно, это обманет троян. (если дело в нем) |
|
|
|
01.03.2008, 06:09
|
|
Познающий
Регистрация: 23.03.2006
Сообщений: 32
Провел на форуме:
36961
Репутация:
0
|
|
Macro, спасибо
Сделал так. Opera выдала пустую страницу, а FireFox выдал Google. Значит этот трой. Теперь вопрос, как его удалить???
|
|
|
|
01.03.2008, 06:31
|
|
Участник форума
Регистрация: 30.04.2006
Сообщений: 154
Провел на форуме:
1760610
Репутация:
81
|
|
Сообщение от Macro
Недавно тут продавали троян, который подменяет результаты поисковиков. Может это он как раз? Можно попробовать его обмануть. Попробуй написать в файл hosts
Код:
72.14.221.104 asdffdsa.ru
И при заходе на asdffdsa.ru ты окажешься в гугле. Возможно, это обманет троян. (если дело в нем) это-же ip http://www.google.ru/
|
|
|
|
01.03.2008, 10:33
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
Провел на форуме:
1845062
Репутация:
1079
|
|
армаорум, проверь, присутствуют ли левые службы, автозапуск. Откати систему до точки восстановления до этих проблем.
|
|
|
|
01.03.2008, 20:20
|
|
Новичок
Регистрация: 01.03.2008
Сообщений: 2
Провел на форуме:
5512
Репутация:
1
|
|
1. Прокси в браузере используется? Или что-нибудь вроде sockschain/sockscap? То, что процесс system:0 - может на самом деле ничего не означать страшного. Это могут быть уже "мертвые" соединения (от закрытого процесса). А вот то, что соединения идут на какие-то левые ip : ports - это подозрительно. Потому что для браузера вполне обычными должны быть левые ip, но порт удаленный - 80, а не 48363, 54069 и т.п.
Если прокси используются - это ответ на вопрос.
2. Советую просканировать на предмет наличия malware с помощью OSAM ( Online Solutions Autorun Manager). Показывает абсолютно всю автозагрузку, используемую различными вирусами/спамботами, malware. Найдет так же и скрытые записи в реестре от руткитов. Если по логу самому не понятно, что может иметь отношение к вредоносным программам, то можно скинуть лог им на форум, где получить квалифицированную помощь (что нормальное, что нужно удалить).
Если что - можно мне в PM написать. |
|
|
|
02.03.2008, 08:42
|
|
Познающий
Регистрация: 23.03.2006
Сообщений: 32
Провел на форуме:
36961
Репутация:
0
|
|
Сообщение от Macro
армаорум, проверь, присутствуют ли левые службы, автозапуск. Откати систему до точки восстановления до этих проблем.
Проверял. Ничего не обнаружил  А функция восстановления системы у меня отключена
Последний раз редактировалось Armaorum; 02.03.2008 в 08:49..
|
|
|
|
02.03.2008, 08:47
|
|
Познающий
Регистрация: 23.03.2006
Сообщений: 32
Провел на форуме:
36961
Репутация:
0
|
|
Сообщение от Sp0Raw
1. Прокси в браузере используется? Или что-нибудь вроде sockschain/sockscap? То, что процесс system:0 - может на самом деле ничего не означать страшного. Это могут быть уже "мертвые" соединения (от закрытого процесса). А вот то, что соединения идут на какие-то левые ip : ports - это подозрительно. Потому что для браузера вполне обычными должны быть левые ip, но порт удаленный - 80, а не 48363, 54069 и т.п.
Если прокси используются - это ответ на вопрос.
Соксифицирую приложения через Proxifier. Прокси я конечно использую. Но все прокси от сервиса, который я юзаю, работают на 4-значных портах. А тут 5-значные порты
Сообщение от Sp0Raw
2. Советую просканировать на предмет наличия malware с помощью OSAM ( Online Solutions Autorun Manager). Показывает абсолютно всю автозагрузку, используемую различными вирусами/спамботами, malware. Найдет так же и скрытые записи в реестре от руткитов. Если по логу самому не понятно, что может иметь отношение к вредоносным программам, то можно скинуть лог им на форум, где получить квалифицированную помощь (что нормальное, что нужно удалить).
Если что - можно мне в PM написать. Большое спасибо за данный совет
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
