На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS

Дорогие друзья! Поздравляем вас с Новым 2025 годом!

Всем удачи, успеха и благополучия!

msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> открывается неизвестный порт
    доброго времени суток!
    что-то, при загрузке системы, открывает UDP-порт.
    из брэндмауера видно,что порт открывается приложением,
    имя которого берется из имени каталога последнего запущенного файла.
    только при подключении к сети, из этого порта svchost.exe лезет
    на удаленный адрес 239.255.255.230
    мож кто сталкивался. я хочу найти паразита.
    мож есть проги мониторящие момент открытия портов.
    хлп!
      http://www.sysinternals.com/Utilities/TcpView.html

      Посмотри, кто и куда подключается.
        Алиса, а паразит скорее всего есть.. показывай лог программы с темы порновирусов...
        уверен что лажа в реестре
          интересно! я отформатировала диск, переустановила винду, но все то же самое :wacko:
            Может, какой-то Флешгет, Опера или др. похожая программа, которая имеет адваре-модуль? :unsure:
              Алиса
              Очень интересное обстоятельство заключается в том, что этот адрес 239.255.255.230 попадает в диапазон специальных адресов, использующихся для групповой передачи:224.0.0.0 - 239.255.255.255
              Цитата
              Адреса вида 239.Х.Х.Х зарезервированы для внутреннего использования в частных сетях.

              Т.е. это специальный адрес, по сути представляющий номер группы в частной сети (т.е. не видимой из Интернета)
              Второе интересное обстоятельство - поиск в нете этого адреса ничего не дал, а SmartWhois говорит, что хост есть, но недоступен - так и должно быть.
              Цитата
              имя которого берется из имени каталога последнего запущенного файла.

              А можно поподробнее насчет имени и как тут подвязывается svchost?
              Сообщение отредактировано: Oleg2004 -
                Цитата Oleg2004 @
                А можно поподробнее насчет имени и как тут подвязывается svchost?

                запускаю прогу, открываю к.-либо файл(exe,doc...), находящийся напр. по пути "c:\...\mydoc\myprog.exe".
                для имени процесса, открывшего порт(кстати порт 1900) выбирается "mydoc.ехе".
                когда ничего не запускаю, а просто брожу по каталогам, то выбирается svchost.ехе.
                при входе в интеренет, через этот порт на 239.255.255.230 идет 1320-1340 б. и все.
                после входа в НЕТ я запускаю брэндмауер и вижу, что идет куча запросов на закрытые или системные порты с периодичностью примерно 10-20 сек.
                когда запускаю брэндмауер до выхода в НЕТ, то выход на 239.255.255.230 блокируется и почти нет нет "левых" запросов.
                вот такая вот петрушка :wacko:
                интересно! в чем собственно дело???
                  Алиса
                  В общем идите по этой
                  ссылке и все прочитаете про ваш порт
                  А еще я вот что нашел - в точности повторение вашей проблемы:
                  Цитата
                  Keeper Jun 17 2005, 22:46 Поставил outpost. Выяснилось, что трафик травил svchost по протоколу UDP порт 1900, и была заблокирована неизвестная прога по порту IGMP, которая пыталась соединится с адресом 224.0.0.22. Может есть кто умный, может можно разблокировать svchost и нафик он нужен?

                  Этот 224.0.0.22 адрес - тоже групповой.
                  Значит, я подразумеваю вот что:
                  Есть какая-то служба в ХР, обеспечивающая групповую передачу. При входе она пытается сообщить о себе - те оповестить IGMP-порт на определенном адресе о своем присутствии. Наверно так <_<
                  Сообщение отредактировано: Oleg2004 -
                    интересная инфа:
                    о порте 1900
                    спасибо всем и 2004-му за ссылку:)
                    0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                    0 пользователей:


                    Рейтинг@Mail.ru
                    [ Script execution time: 0,0257 ]   [ 15 queries used ]   [ Generated: 21.01.25, 12:36 GMT ]