1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Нездоровое соотношение прием-отдачи пакетов. Что делать?

Тема в разделе "Компьютеры", создана пользователем Homo Sapiens, 13.11.09.

  1. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    Сразу оговорюсь, что не большой спец в тех вопросах, о которых пойдёт речь, поэтому излагаю ситуацию как могу.

    Итак, на днях в машину кто-то тупо залез – «порулил» мышкой, написАл всякую #ню в поисковике, полез в пуск, после чего поползновения были пресечены отключением машины. Машина защищена только KAV. После последующего запуска прогнали полную проверку компьютера Каспером, была выявлена и удалена трояна. Сейчас наблюдаю нездоровую отдачу пакетов – соотношение к принятым где-то 1 к 2, то есть передаётся всего лишь в два раза меньше, чем принимается, 1 к 4 – край. Раньше разница была в десятки раз. В локальном соединении (дом.ру) соотношение пакетов примерно 1 к 1. Причём отдача в локалке идёт сразу после включения машины.

    Поэтому вопрос № 1 – нормальна ли такая отдача пакетов в локалке?

    Сегодня показал машину знакомым сисадминам. Сказали, что в KAV в онлайн-фишинге была настройка типа разрешения внешнего соединения. Отключили. Теперь предлагают снести ОС и установить заново. Типа, других вариантов нет.
    Их версия: вирь, который у меня где-то сидит, может со временем убить операционку. А в данный момент меня используют в качестве бота, то бишь через мою машину идёт рассылка спама. Файрволл ставить не советуют (из-за возможных глюков), а предлагают поставить KIS. Но у меня сейчас лицензия на KAV ещё не закончилась. Если Каспер даст добро, то коня на переправе я поменяю, но пока – что есть, то есть.

    Поэтому вопрос № 2 – обязательно ли в данном случае сносить операционку и ставить заново?

    Ну и главный вопрос – что делать в такой ситуации? Есть ли возможность самостоятельно «залатать дыры» и прекратить непонятки, или всё же пойти по пути сноса (переустановки) ОС?

    Буду признателен за любой дельный совет.
    сорри, что много букафф)))
     
  2. KEKS

    KEKS Активный участник

    4.102
    0
    Странные у вас админы... :shuffle:
    Во первых версия каспера.
    Во вторых версия ОС.
    В третих создаем правильно темы.
     
  3. DELL

    DELL Активный участник

    4.144
    0
    KEKS, да нет, не странные, просто ни кто не хочет заморачиваться и выяснять в чем причина.
    Homo Sapiens, Вы бы им денег предложили - они быстренько все сделают. Они тоже люди, тоже кушать хотят.
     
  4. KEKS

    KEKS Активный участник

    4.102
    0
    Согласен. Самый простой способ - гильотина. :d
    Хотя не факт, что вирус не останется. ;)
     
  5. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    8.0.0.506

    Windows XP
    Версия 5.1


    Да просто вопросов сразу много - тут и хакнули машину, и пакеты раздаются только в путь, и ОС снести предложили. Поэтому получилось как у Чернышевского :)

    Согласен, что они идут по самому простому (для них) пути. С деньгами вариант не проканает, не тот случай.
     
  6. DELL

    DELL Активный участник

    4.144
    0
    и админы это прекрасно понимают, потому и не заморачиваются.
     
  7. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    DELL,
    Да понимаю я их прекрасно, поэтому тему и поднял. В надежде хотя бы попытаться что-то сделать без радикальных шагов.

    добавлено через 4 минуты
    Сорри, если вопросы тупые - "я не волшебник, я только учусь"(с).:)
    1. Причина раздачи пакетов - вирус?
    2. Связан ли он с имевшим место хакерством?
    3. Почему не факт, что он не останется?

    Можно не развёрнуто, в общих чертах:)
     
  8. KEKS

    KEKS Активный участник

    4.102
    0
    Homo Sapiens, Если причина раздачи пакетов - вирус, то прогони все Каспером со свежими базами. Откатись, если есть возможность до предыдущей точки восстановления. Если точек нет, или слишком много откатывать, то грохай папку System Volume Information (надеюсь знаешь как). Загрузи и установи ВСЕ критические обновления XP. Ставь фаервол. Думаю поможет. :writer:
     
  9. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    KEKS,
    спасибо, попробую воспользоваться рекомендациями.
    PS не всё понятно, но, думаю, разберусь.
     
  10. KEKS

    KEKS Активный участник

    4.102
    0
    Вот это и странно. :shuffle:
    Что за вирь хоть сказали?
     
  11. Dark_Angel

    Dark_Angel Активный участник

    3.138
    0
    KEKS, каспер не понацея. Даже с новыми базами он не видим руткитов. Обновления не помогут. И смысла нет грохать папку SVI. Пробуй AVZ и GMER
     
  12. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    кстати, сегодня делал полную проверку каспером со свежими базами - вирей не обнаружено. а что не только вирус может быть причиной раздачи пакетов?
     
  13. KEKS

    KEKS Активный участник

    4.102
    0
    Согласен. Но не думаю, что там дело дошло до руткитов. Хотя...
    Неизвесно, как Каспер на них отреагирует. :shuffle:
     
  14. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    нет. меня то это и смущает. посмотрели каспера, отключили в онлайн-фишинге опцию типа "возможность соединения с внешним источником" и всё. сказали, что в машину влезли из локалки, а торрент-трекеры - это зло. и нужно сносить винду:d
    PS я и понять не могу - влезли, чтобы вирем наградить, чтоб спам рассылал, так штоль? или это события между собой не связанные?
     
  15. Prozhector

    Prozhector Участник

    405
    0
    скачай avz проскань ей, можешь также CureIt заюзать
     
  16. KEKS

    KEKS Активный участник

    4.102
    0
    Перед сканированием отруби Каспера на всякий случай.
    И посмотри в протоколах его, что за дрянь он обезвредил. (если админы не стерли)
     
  17. Kot.85

    Kot.85 Активный участник

    4.761
    8
    а причем тут вирус тогда...
    скорее всего кто из локалки шарит на наличие включенных служб удаленного администрирования. и он тебя нашел:) теперь сидит и смотрит как ты работаешь за компом, палит логины/пароли и т.д.:)
     
  18. KEKS

    KEKS Активный участник

    4.102
    0
    Возможно так оно и есть. :shuffle:
     
  19. Kot.85

    Kot.85 Активный участник

    4.761
    8
    если винда ХР про, то там есть утилитка для подключения к удаленному рабочему столу. советую проверить наличие запущенных служб удаленного администрирования
     

    Вложения:

    • 12.JPG
      12.JPG
      Размер файла:
      47,6 КБ
      Просмотров:
      115
  20. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    я ж говорю, вирь - это версия админов. а я сразу после проникновения прогнал всё каспером на всякий случай и хлопнул трояну (мож она у меня давно сидела, не знаю)


    тоже думаю, что так дело обстоит. в этом случае


    это поможет?
     
  21. Kot.85

    Kot.85 Активный участник

    4.761
    8
    нет, ибо ты имеешь дело с средствами самой виндой, которая естественно вирусом не является. шарь службы и выключай их. а откуда одмины? к локалке они имеют отношение?
     
  22. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    админы свои - коллеги, к локалке никакого отношения не имеют. с ними всё нормуль, просто не хотят заморачиваться.

    добавлено через 32 минуты
    посмотрел. опция "разрешить удалённый доступ к этому компьютеру" отключена.

    это теперь нужно и если да, то где?

    добавлено через 34 минуты
    млин, в локалке по прежнему 1 к 1...
     
  23. Ralf

    Ralf Активный участник

    8.115
    71
    xp не умеет (точнее там в лицензионном соглашении оговорено и четко соблюдается) держать одновременно два сеанса, проще говоря если к вам залезут через терминалку, то вы управлять своим сеансом не сможете
     
  24. Alfey

    Alfey Активный участник

    3.813
    0
    Homo Sapiens,
    AVZ -> Сервис-> Открытые порты TCP/UDP
     
  25. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    прогнал машину AVZ. результат следующий:
    1. найдено и удалено две трояны, причём сидели где-то в Каспере (?!...).
    2. ещё красным цветом в разделе "проверка обработчиков IRP" указано, что перехватчики не определены. не пойму как сие понимать. то что ничего не перехвачено, как я понимаю это хорошо, но почему выделено красным (как и трояны) не понятно.

    с пакетами изменений нет. соотношение прежнее.
    что ещё можно сделать, чтобы переломить ситуацию?
     
  26. DELL

    DELL Активный участник

    4.144
    0
    ну видимо где-то в карантине у каспера их откопал...

    Раз уж речь зашла про AVP, то последние полгода (а то и больше) доверяю свой комп AVG - бесплатный, но полноценный антивирь. Все что надо он находит. Ну а если что и пропускает, то я этого на здоровье ХР не замечаю.
     
  27. Dark_Angel

    Dark_Angel Активный участник

    3.138
    0
    Еще как вариант, убить нахрен Каспера. Поставить DrWeb Space Security. Бесплатный ключ вышлют. Прогнать им. Их утилита CureIt не все находит
     
  28. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    Dark_Angel,
    думаешь всё дело в вирях? если бы в машину не залезли, я б тоже на них ставку сделал. но сейчас не знаю, что думать. сегодня посмотрел статистику инета, в локалке смущает размер потребленного трафика (слишком большой для меня, я локалку практически не использую). ощущение, что ко мне кто-то тупо "присосался", но не знаю, как это проверить.
     
  29. lange

    lange Активный участник

    9.761
    1
  30. Homo Sapiens

    Homo Sapiens Активный участник

    3.981
    15
    lange,
    спасибо, попробую проверить.

    добавлено через 56 минут
    проверил, вроде ничего подозрительного...