Порты 80, 1025 и выше, наверное троян
Почистил диск, удалил temp internet.
Проверял Касперским(двухгодичной давности), Trojan Guarden Gold, Anti Trojan Elite. Только Anti Trojan Elite что то нашёл, сделал синий экран, потом всё восстановилось, но не сказал, что нашёл.
В Trojan Guarden Gold сканер портов. По нему видно, что с http порт 80 вообще не работает, только что-то слушает. С http работают только порты 1025, 1026 и так далее, т.е. скрытые порты, которые (как я знаю) инициируются по внешнему запросу.
Может быть так и должно быть? Или нет. Если нет, то как это исправить.
И еще в этом же направлении. На порту 135: epmap, на 445:microsoft-ds
Как их отключить?
Типа шутка, да? :)
За это время уже СТОЛЬКО троянов написали... Обновись.
За это время уже СТОЛЬКО троянов написали... Обновись.
Касперский, как я понимаю, ловит вирусы. Даёт инструмент для поиска троянов (запреты, отслеживание обращений к реестру и т.д.) Кстати при обычной настойке его ВЕБ- антивирус сканирует стандартные порты 80, 81, 1025 и еще несколько. Троян это успешно обходит. Так что касперский максимум что может сделать - это запереть трояна и показать пальцем на некотрые подозрительные файлы. Но троянов не ловит и не определяет.
Поставил, конечно. Но мониторинг сети с распределением трафика по портам и приложениям в нём пока не нашёл.
А TrojanHanter определил какогото трояна lanfiltrator. Да и без этого, когда поток с 0 ID ОБЩАЕТСЯ с адресом 217.170.78.4 (ты не знаешь что это такое?) Можно подумать что что-то идет неправильно.
А TrojanHanter определил какогото трояна lanfiltrator. Да и без этого, когда поток с 0 ID ОБЩАЕТСЯ с адресом 217.170.78.4 (ты не знаешь что это такое?) Можно подумать что что-то идет неправильно.
Интересно, наш форум посещают только те, которые о поисковых сервисах ничего не слышали? :) Или это просто сейчас такой гламур - размещать вопросы на форуме и ждать, пока кто-либо что скажет?
По поводу "определил какогото трояна lanfiltrator" - не буду приводить ссылку ввиду малолетних далпайопов - но выяснить что это такое, труда ровно на две секунды. Сервис whois - тоже пока еще никто не отменял. Вот его вывод:
Информация об IP-адресе 217.170.78.4
по данным RIPE:
% This is the Ripe-Mirror Whois server.
% Note: this output has been filtered.
% Information related to '217.170.78.0 - 217.170.78.255'
inetnum: 217.170.78.0 - 217.170.78.255
netname: ELTEL
descr: Hostway.ru
country: RU
admin-c: SA507-RIPE
tech-c: AG12797-RIPE
status: ASSIGNED PA
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
person: Sablina Alexandra
address: 10N, 65-67,
address: Chaykovskogo st.
address: 191123 Saint-Petersburg
address: Russia
phone: +7 812 4381102
fax-no: +7 812 4381101
e-mail: [email]angel@eltel.net[/email]
nic-hdl: SA507-RIPE
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
person: Alexandr Goussev
address: 10N, 65-67,
address: Chaykovskogo st.
address: 191194 Saint-Petersburg
address: Russia
phone: +7 812 4381102
fax-no: +7 812 4381101
e-mail: [email]alex@eltel.net[/email]
nic-hdl: AG12797-RIPE
source: RIPE # Filtered
% Information related to '217.170.64.0/20AS20597'
route: 217.170.64.0/20
descr: ELTEL.net
origin: AS20597
mnt-by: ELTEL-RIPE-MNT
source: RIPE # Filtered
судя по всему - питерский пров. Т.е. при наличии адекватных аргументов, можно попытаться выяснить откуда ноги. Правда не факт что получится - скорей всего, очередная затрояненая машина, но с чем черт не шутит?
Но первые шаги - найти процессы и драйвера не принадлежащие системе, хотябы с помощью той же утилиты Руссиновича http://www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx, но только надо понимать что это не панацея - надо провести комплексный анализ - и убрать заразу из системы. Если знаний не хватает - обратитесь к знакомым спецам. Если это по каким либо причинам не возможно - формат С: и систему начисто.
Найти, где в KIS (Kaspersky Internet Security) 6.0+ находится мониторинг сети, можно найти методом дыка за весьма малое время t. Ну могу подсказать --- правый клик на трей-иконке, 6-я строка снизу.
Говоря про касперского, я имел ввиду, именно полный его защитный комплекс KIS, а не отдельный антивирь --- извиняюсь за неточность.