NOD блокирует локальную сеть.

[ArtemSaratov]

Стоит НОД Смарт Секурти 4.
Закрывает доступ по сети к тем машинам, на которых стоит Вин 7 Про 64 бит...
По крайней мере я ничего другого общего у этих машин не вижу, кроме ОС..

В журнал при этом пишет
14.02.2012 18:04:11 Обнаружена атака сканирования портов 192.168.0.14:5355(не мой комп) 192.168.0.6:63378 (мой комп) UDP
Атака четко каждые 10 минут 30 секунд.

Причем в один день атаки с одного компа, в другой с другого, в третий с третьего..
что за ерунда??

[fsv]

алееей - оп

[hellcommander]

[Rambo]

запустить на атакующем компе какой-нибудь сниффер и посмотреть, что за приложение. А вообще - файерволл в локалке - моветон.

[ArtemSaratov]

кроме локалки есть и глобалка...
а в локалке все бегают ко всем, но меня атакуют только 2-3 компа ((

[ArtemSaratov]

Цитата:

Сообщение от fsv

алееей - оп

УЖЕ сделано....Не в этом проблема...

[ArtemSaratov]

Цитата:

Сообщение от Rambo

запустить на атакующем компе какой-нибудь сниффер и посмотреть, что за приложение.

а можете какой-то конкретно посоветовать??
чтоб не навороченый был...)))

[fox_12]

Цитата:

Сообщение от ArtemSaratov

а можете какой-то конкретно посоветовать??
чтоб не навороченый был...)))

http://www.nirsoft.net/utils/cports.html

[ArtemSaratov]

Спасибо! Я его скачал..

вчера поставил этот сниффер на "атакующий" порт. Сегодня в ноде увидел в 10.47 запись:
16.02.2012 10:03:52 Обнаружена атака сканирования портов 192.168.0.13:5355 192.168.0.6:49734 UDP
Пошел смотреть, что видит сниффер "аттакера".
Снифер увидел на 192.168.0.13:5355 файл svhost.exe из папки Систем32. ID процесса 1316, локальный сервис LLMNR....

Вирус в svhost или что это?

[PavelZT]

Настоящий файл это svchost.exe, все остальные это мимикрия.

[fox_12]

Цитата:

Сообщение от PavelZT

Настоящий файл это svchost.exe, все остальные это мимикрия.

+100500
Теперь скачайте вот это:
http://codestuff.tripod.com/products_starter.html
Прибейте данный процесс, затем почистите подозрительные стартовые скрипты этой же программой.
Затем хотя бы этой программой:
http://www.freedrweb.com/cureit/?lng=en
Зачистите компьютер от вирусов.

Если таки название сервиса svchost.exe, то в данном случае - это работа одной из Майкрософтовских приблуд (Link-Local Multicast Name Resolution (LLMNR)):
http://www.pc-library.com/ports/tcp-udp-port/5355/
Вот подробнее за сам протокол:
http://en.wikipedia.org/wiki/LLMNR
В таком случае прописать порт 5355 в исключения, и пока успокоиться на этом

[ArtemSaratov]

прошу прощения! всеж таки свКхост.
Но, на всякий пожарный, я его закинул на вирус тотал.... eSafe ругнулся на какой-то троян..
вот лог снифера
Процесс : svchost.exe
ID процесса : 1316
Протокол : UDP
Локальный порт : 5355
Локальный сервис : llmnr
Локальный адрес : 0.0.0.0
Удалённый порт :
Удалённый сервис :
Удалённый адрес :
Удалённый хост :
Статус :
Путь к файлу : C:\Windows\system32\svchost.exe
Наименование продукта: Операционная система Microsoft® Windows®
Описание файла : Хост-процесс для служб Windows
Версия файла : 6.1.7600.16385 (win7_rtm.090713-1255)
Компания : Microsoft Corporation
Процесс создан : 17.02.2012 10:05:34
Пользователь : NT AUTHORITY\NETWORK SERVICE
Сервисы процесса : CryptSvc, Dnscache, LanmanWorkstation, NlaSvc
Атрибуты процесса : A
Открыто в : 17.02.2012 10:15:46
Файл модуля :
Государство :
Заголовок окна :