Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.97.14.80] |
|
Сообщ.
#1
,
|
|
|
доброго времени суток!
что-то, при загрузке системы, открывает UDP-порт. из брэндмауера видно,что порт открывается приложением, имя которого берется из имени каталога последнего запущенного файла. только при подключении к сети, из этого порта svchost.exe лезет на удаленный адрес 239.255.255.230 мож кто сталкивался. я хочу найти паразита. мож есть проги мониторящие момент открытия портов. хлп! |
Сообщ.
#2
,
|
|
|
http://www.sysinternals.com/Utilities/TcpView.html
Посмотри, кто и куда подключается. |
Сообщ.
#3
,
|
|
|
Алиса, а паразит скорее всего есть.. показывай лог программы с темы порновирусов...
уверен что лажа в реестре |
Сообщ.
#4
,
|
|
|
интересно! я отформатировала диск, переустановила винду, но все то же самое
|
Сообщ.
#5
,
|
|
|
Может, какой-то Флешгет, Опера или др. похожая программа, которая имеет адваре-модуль?
|
Сообщ.
#6
,
|
|
|
Алиса
Очень интересное обстоятельство заключается в том, что этот адрес 239.255.255.230 попадает в диапазон специальных адресов, использующихся для групповой передачи:224.0.0.0 - 239.255.255.255 Цитата Адреса вида 239.Х.Х.Х зарезервированы для внутреннего использования в частных сетях. Т.е. это специальный адрес, по сути представляющий номер группы в частной сети (т.е. не видимой из Интернета) Второе интересное обстоятельство - поиск в нете этого адреса ничего не дал, а SmartWhois говорит, что хост есть, но недоступен - так и должно быть. Цитата имя которого берется из имени каталога последнего запущенного файла. А можно поподробнее насчет имени и как тут подвязывается svchost? |
Сообщ.
#7
,
|
|
|
Цитата Oleg2004 @ А можно поподробнее насчет имени и как тут подвязывается svchost? запускаю прогу, открываю к.-либо файл(exe,doc...), находящийся напр. по пути "c:\...\mydoc\myprog.exe". для имени процесса, открывшего порт(кстати порт 1900) выбирается "mydoc.ехе". когда ничего не запускаю, а просто брожу по каталогам, то выбирается svchost.ехе. при входе в интеренет, через этот порт на 239.255.255.230 идет 1320-1340 б. и все. после входа в НЕТ я запускаю брэндмауер и вижу, что идет куча запросов на закрытые или системные порты с периодичностью примерно 10-20 сек. когда запускаю брэндмауер до выхода в НЕТ, то выход на 239.255.255.230 блокируется и почти нет нет "левых" запросов. вот такая вот петрушка интересно! в чем собственно дело??? |
Сообщ.
#8
,
|
|
|
Алиса
В общем идите по этой ссылке и все прочитаете про ваш порт А еще я вот что нашел - в точности повторение вашей проблемы: Цитата Keeper Jun 17 2005, 22:46 Поставил outpost. Выяснилось, что трафик травил svchost по протоколу UDP порт 1900, и была заблокирована неизвестная прога по порту IGMP, которая пыталась соединится с адресом 224.0.0.22. Может есть кто умный, может можно разблокировать svchost и нафик он нужен? Этот 224.0.0.22 адрес - тоже групповой. Значит, я подразумеваю вот что: Есть какая-то служба в ХР, обеспечивающая групповую передачу. При входе она пытается сообщить о себе - те оповестить IGMP-порт на определенном адресе о своем присутствии. Наверно так |
Сообщ.
#9
,
|
|
|