1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Нездоровое соотношение прием-отдачи пакетов. Что делать?

Тема в разделе "Компьютеры", создана пользователем Homo Sapiens, 13.11.09.

  1. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    Сразу оговорюсь, что не большой спец в тех вопросах, о которых пойдёт речь, поэтому излагаю ситуацию как могу.

    Итак, на днях в машину кто-то тупо залез – «порулил» мышкой, написАл всякую #ню в поисковике, полез в пуск, после чего поползновения были пресечены отключением машины. Машина защищена только KAV. После последующего запуска прогнали полную проверку компьютера Каспером, была выявлена и удалена трояна. Сейчас наблюдаю нездоровую отдачу пакетов – соотношение к принятым где-то 1 к 2, то есть передаётся всего лишь в два раза меньше, чем принимается, 1 к 4 – край. Раньше разница была в десятки раз. В локальном соединении (дом.ру) соотношение пакетов примерно 1 к 1. Причём отдача в локалке идёт сразу после включения машины.

    Поэтому вопрос № 1 – нормальна ли такая отдача пакетов в локалке?

    Сегодня показал машину знакомым сисадминам. Сказали, что в KAV в онлайн-фишинге была настройка типа разрешения внешнего соединения. Отключили. Теперь предлагают снести ОС и установить заново. Типа, других вариантов нет.
    Их версия: вирь, который у меня где-то сидит, может со временем убить операционку. А в данный момент меня используют в качестве бота, то бишь через мою машину идёт рассылка спама. Файрволл ставить не советуют (из-за возможных глюков), а предлагают поставить KIS. Но у меня сейчас лицензия на KAV ещё не закончилась. Если Каспер даст добро, то коня на переправе я поменяю, но пока – что есть, то есть.

    Поэтому вопрос № 2 – обязательно ли в данном случае сносить операционку и ставить заново?

    Ну и главный вопрос – что делать в такой ситуации? Есть ли возможность самостоятельно «залатать дыры» и прекратить непонятки, или всё же пойти по пути сноса (переустановки) ОС?

    Буду признателен за любой дельный совет.
    сорри, что много букафф)))
     
  2. KEKS

    KEKS Активный участник

    4.123
    46
    Странные у вас админы... :shuffle:
    Во первых версия каспера.
    Во вторых версия ОС.
    В третих создаем правильно темы.
     
  3. DELL

    DELL Активный участник

    4.288
    20
    KEKS, да нет, не странные, просто ни кто не хочет заморачиваться и выяснять в чем причина.
    Homo Sapiens, Вы бы им денег предложили - они быстренько все сделают. Они тоже люди, тоже кушать хотят.
     
  4. KEKS

    KEKS Активный участник

    4.123
    46
    Согласен. Самый простой способ - гильотина. :d
    Хотя не факт, что вирус не останется. ;)
     
  5. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    8.0.0.506

    Windows XP
    Версия 5.1


    Да просто вопросов сразу много - тут и хакнули машину, и пакеты раздаются только в путь, и ОС снести предложили. Поэтому получилось как у Чернышевского :)

    Согласен, что они идут по самому простому (для них) пути. С деньгами вариант не проканает, не тот случай.
     
  6. DELL

    DELL Активный участник

    4.288
    20
    и админы это прекрасно понимают, потому и не заморачиваются.
     
  7. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    DELL,
    Да понимаю я их прекрасно, поэтому тему и поднял. В надежде хотя бы попытаться что-то сделать без радикальных шагов.

    добавлено через 4 минуты
    Сорри, если вопросы тупые - "я не волшебник, я только учусь"(с).:)
    1. Причина раздачи пакетов - вирус?
    2. Связан ли он с имевшим место хакерством?
    3. Почему не факт, что он не останется?

    Можно не развёрнуто, в общих чертах:)
     
  8. KEKS

    KEKS Активный участник

    4.123
    46
    Homo Sapiens, Если причина раздачи пакетов - вирус, то прогони все Каспером со свежими базами. Откатись, если есть возможность до предыдущей точки восстановления. Если точек нет, или слишком много откатывать, то грохай папку System Volume Information (надеюсь знаешь как). Загрузи и установи ВСЕ критические обновления XP. Ставь фаервол. Думаю поможет. :writer:
     
  9. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    KEKS,
    спасибо, попробую воспользоваться рекомендациями.
    PS не всё понятно, но, думаю, разберусь.
     
  10. KEKS

    KEKS Активный участник

    4.123
    46
    Вот это и странно. :shuffle:
    Что за вирь хоть сказали?
     
  11. Dark_Angel

    Dark_Angel Активный участник

    4.031
    169
    KEKS, каспер не понацея. Даже с новыми базами он не видим руткитов. Обновления не помогут. И смысла нет грохать папку SVI. Пробуй AVZ и GMER
     
  12. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    кстати, сегодня делал полную проверку каспером со свежими базами - вирей не обнаружено. а что не только вирус может быть причиной раздачи пакетов?
     
  13. KEKS

    KEKS Активный участник

    4.123
    46
    Согласен. Но не думаю, что там дело дошло до руткитов. Хотя...
    Неизвесно, как Каспер на них отреагирует. :shuffle:
     
  14. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    нет. меня то это и смущает. посмотрели каспера, отключили в онлайн-фишинге опцию типа "возможность соединения с внешним источником" и всё. сказали, что в машину влезли из локалки, а торрент-трекеры - это зло. и нужно сносить винду:d
    PS я и понять не могу - влезли, чтобы вирем наградить, чтоб спам рассылал, так штоль? или это события между собой не связанные?
     
  15. Prozhector

    Prozhector Участник

    417
    0
    скачай avz проскань ей, можешь также CureIt заюзать
     
  16. KEKS

    KEKS Активный участник

    4.123
    46
    Перед сканированием отруби Каспера на всякий случай.
    И посмотри в протоколах его, что за дрянь он обезвредил. (если админы не стерли)
     
  17. Kot.85

    Kot.85 Активный участник

    4.796
    10
    а причем тут вирус тогда...
    скорее всего кто из локалки шарит на наличие включенных служб удаленного администрирования. и он тебя нашел:) теперь сидит и смотрит как ты работаешь за компом, палит логины/пароли и т.д.:)
     
  18. KEKS

    KEKS Активный участник

    4.123
    46
    Возможно так оно и есть. :shuffle:
     
  19. Kot.85

    Kot.85 Активный участник

    4.796
    10
    если винда ХР про, то там есть утилитка для подключения к удаленному рабочему столу. советую проверить наличие запущенных служб удаленного администрирования
     

    Вложения:

    • 12.JPG
      12.JPG
      Размер файла:
      47,6 КБ
      Просмотров:
      538
  20. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    я ж говорю, вирь - это версия админов. а я сразу после проникновения прогнал всё каспером на всякий случай и хлопнул трояну (мож она у меня давно сидела, не знаю)


    тоже думаю, что так дело обстоит. в этом случае


    это поможет?
     
  21. Kot.85

    Kot.85 Активный участник

    4.796
    10
    нет, ибо ты имеешь дело с средствами самой виндой, которая естественно вирусом не является. шарь службы и выключай их. а откуда одмины? к локалке они имеют отношение?
     
  22. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    админы свои - коллеги, к локалке никакого отношения не имеют. с ними всё нормуль, просто не хотят заморачиваться.

    добавлено через 32 минуты
    посмотрел. опция "разрешить удалённый доступ к этому компьютеру" отключена.

    это теперь нужно и если да, то где?

    добавлено через 34 минуты
    млин, в локалке по прежнему 1 к 1...
     
  23. Ralf

    Ralf Активный участник

    9.190
    467
    xp не умеет (точнее там в лицензионном соглашении оговорено и четко соблюдается) держать одновременно два сеанса, проще говоря если к вам залезут через терминалку, то вы управлять своим сеансом не сможете
     
  24. Alfey

    Alfey Активный участник

    3.802
    0
    Homo Sapiens,
    AVZ -> Сервис-> Открытые порты TCP/UDP
     
  25. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    прогнал машину AVZ. результат следующий:
    1. найдено и удалено две трояны, причём сидели где-то в Каспере (?!...).
    2. ещё красным цветом в разделе "проверка обработчиков IRP" указано, что перехватчики не определены. не пойму как сие понимать. то что ничего не перехвачено, как я понимаю это хорошо, но почему выделено красным (как и трояны) не понятно.

    с пакетами изменений нет. соотношение прежнее.
    что ещё можно сделать, чтобы переломить ситуацию?
     
  26. DELL

    DELL Активный участник

    4.288
    20
    ну видимо где-то в карантине у каспера их откопал...

    Раз уж речь зашла про AVP, то последние полгода (а то и больше) доверяю свой комп AVG - бесплатный, но полноценный антивирь. Все что надо он находит. Ну а если что и пропускает, то я этого на здоровье ХР не замечаю.
     
  27. Dark_Angel

    Dark_Angel Активный участник

    4.031
    169
    Еще как вариант, убить нахрен Каспера. Поставить DrWeb Space Security. Бесплатный ключ вышлют. Прогнать им. Их утилита CureIt не все находит
     
  28. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    Dark_Angel,
    думаешь всё дело в вирях? если бы в машину не залезли, я б тоже на них ставку сделал. но сейчас не знаю, что думать. сегодня посмотрел статистику инета, в локалке смущает размер потребленного трафика (слишком большой для меня, я локалку практически не использую). ощущение, что ко мне кто-то тупо "присосался", но не знаю, как это проверить.
     
  29. lange

    lange Активный участник

    11.682
    695
  30. Homo Sapiens

    Homo Sapiens Активный участник

    6.822
    1.131
    lange,
    спасибо, попробую проверить.

    добавлено через 56 минут
    проверил, вроде ничего подозрительного...