Локальная сеть с одной сетевой подгруппой, 36 ПК в сети. Типичная группа ай-пи адресов:

192.168.1.1....192.168.1.36

Первый адрес само собой интернет сервер. Подключение к инету по VPN без шифрования

Админ сетки НЕ я.

Конфиг в провиле. Стабильность отключённого моего ПК от сети 100%.

Установленный у меня софт "сетевого характера":

1. OS Win Xp SP1
2. Outpost Firewall 2.7
3. KAV 5.016
4. LnetScan
5. Vypress Chat

Мои симптомы/проблемы/жалобы.

1. Постоянный (с регулрностью 10-30 минут) вылет Винампа с ошибкой.
2. Хаотичные и непроизвольные, не систематизированные, не предсказуемые вылеты в синий экран с нечитаемыми крокозяблями.
3. Вылет любого медиаплеера, зависания.
4. Появление левой админской записи "MS Machine" или что типа того...

Никаких вышеуказанных проблем нет, если выдернуть витую пару/программно отключить сеть.

Имею один-едиснтвенный отчёт Outpost FireWall'a об Nuke-атаке с IP 192.168.1.30

На сколько я смог бегло (нет времени) изучить Nuke атаку и общие принципы взлома ПК по NetBios, стало понятно, что нужно закрыть 139-й порт и запретить использование NetBios. Ваши комментарии/советы?

Важный вопрос - является ли достаточным рапорт фаервола о ньюк-атаке для ДОКАЗАТЕЛЬСТВА? То есть, может ли быть ситуация, когда какой-либо "не здоровый" софт с IP 192.168.1.30 самостоятельно "ложит" мой комп, и сам владелец "атакуещего" ПК не при делах?

По возможности лучше отключать его, особенно в крупных сетях. Или забань тот IP и посмотри что изменится.

Добавлено спустя 1 минуту, 9 секунд:

запросто. О сетевом черве хозяин компа может и не ведать.

Полагаю, в таком случае атака была бы как минимум с нескольких ай-пи, ибо в сети есть десяток чайников, у которых кроме антивиря нет вообще ничего...

Защитится-то я сам могу, пока этого не делаю НАМЕРЕННО.

Какая есть жутко "хитрая" программа, следящая за всеми сетевыми процессами и ведущая лог? Гм, наерное это всё можно и факрволом сделать? Нужно будет выкроить пару часов времени и изучить его внимательно...

[Viru$] Дык аутпост ведет лог постоянно, надо просто его настроить под свои нужды.

для начала убей аутпост, а нюк атаки там скорее и нет, это его шибко умный интеллект.



Синие экраны и вылет винампа могут быть при конфликте сетевухи с каким-либо другим устройством, к примеру, сразу на других перекладывать вину не стоит.

[Viru$] ... ммм ... неграмотно ...


... нет! ... это самый любимый глюк этого фаера ... (*рекомендую перейти уже на 3-ю версию*)

... как имеющий опыт в подобных делах - с уверенностью 99% могу сказать, что это довольно неумелые попытки захвата контроля над компьютером, - вариантов много - внедрение кейлоггера, троя, сплойта ...

- Удаленный реестр - удалить службу
- Планировщик заданий - отключить/удалить
- какие есть подозрительные файлы, процессы - ?? пусть даже не видящиеся антивирями (пример - lhsrvc.exe - сервис LanHelper'а) ... что в автозагрузке?? ...

Добавлено спустя 1 минуту, 26 секунд:

X-NetStat Professional 5.44

[Viru$] Есть программа Process Guard она показывает все процессы запущенные на машине... сам пользуюсь аутпостом.

Всё было чики пуки, и в один прекрасный день началось... При этом я на своём компе ничего не трогал/не менял/не делал/не устанавливал

Не силён в сетевой безопасности, отсюда и "не грамотность"

Сделано сразу после установки мастдая

Из "не знакомых" мне - alg.exe

Чисто.

Добавлено спустя 2 минуты, 16 секунд:

Гм, точно не припоминаю, но возможно что это ест (я на работе сейчас).

[Viru$] ... гм ... если это так, то это оно и есть ... LanHelper'ом можно, извиняюсь, поиметь комп жертвы, так сказать, по-разному и с комфортом ...

ОК, это проверю, NetBios прибью...

Я уже эти слова комментировал, но забыл процитировать:

Полагаю, этим вопрос наличия атаки как таковой исчерпан - она есть

пример: пусть даже у тебя выключены (а не удалены) службы Удаленного реестра и Планировщика Заданий ... ну так я просто их включаю-запускаю (cmd -> sc.exe) ... причем, учитывая
все происходит без проблем ... после выключаю и все чисто ... так что - бди! ...
???!!! Кто еще админ на компе ???!!!

ps сорри, что коряво пишу - уже сутки не спал ...

Добавлено спустя 1 минуту, 9 секунд:


... да ! ... это главное ...

Добавлено спустя 2 минуты, 23 секунды:
а все-таки поставь ... разберешься - все увидишь ... : )

Никто, 2 учётные записи - моя и Гостя. Гость включён. Выключить? "Левые" админские сразу прибиваю...

Итак, план действий:

1. Изучение аутпоста с целью настройки лога. Пока что только лога - если имеем дело с кулхацкером, не плохо бы доказать...
2. Проверка всех активных процессов
3. Нет Биос пока трогать не буду

Вот что ещё беспокоит - как попроятать/защитится от кражи паролей? В частности к этому форуму... (сейчас я его просто сменю пока что...)

кстати в учетных записях есть еще одна называется SUPPORT_388945a0 предлагаю и ее удалить. а гостя откл.

Отключить звук. Сменить сетевуху.
Снести кашперовского и аутпост.
ТОлько тогда уровнение можно решать, а так слишком много неизвестных.

переключался на встроенную - бес толку.

БСОД бывает когда ничего звуковоспроизводящего не играет. Кроме того, выключить сеть - и всё ОК.

[Viru$] Поставь Zone Alarm Internet Security Suite и посмотри. Он тебе выдаст подробнейшие логи и, в отличие от аутпоста, зона прекрасно справляется с
внедрением длл, перехватом нативных процессов и так далее. У зоны этим занимается OSFirewall непосредственно. Далее, у сьюта очень неплохой антивирус и антиспайврник, сразу прогони их, уж если с ней у тебя будет вылетать винамп, и синие экраны - ищи проблемы в себе.

Возможно надо бы винду переставить.
Или как минимум аутпост снести.
Черт его знает, как он - коректно,некоректно в сетевой трафик вписался ...
Он же ставиться по типу как драйвер - малейший его глюк может синьку вызывать

вот это очень дельное предложение

[Viru$]
Присоединюсь и я к обсуждению.

Было недавно такое же. Машина работала относительно стабильно, но ночью всегда зависала. Уже хотел все переставлять, потом передумал и решил переставить все дрова. переставил панду с нуля, и переставил аутпост (заодно его несколько обновил с 2.6 на 2.7)

Все стало опять все ок. А потом нашел все-таки проблему (через некоторое время опять все началось).
Оказалось что загруженный сетевой драйвер (для моей встроенной гигибитки от марвела) с сайта мелкомягких (ну уж очень хотел поставиться в систему) по полной программе глючит с аутпостом. Поставил обычный марвеловский драйвер и аутпост 3 бета - все ок в течении недели и загруженностью компа 100 процентов 24 часа в сутки (видео кодируется, не останавливается)

сетевуха какая? если встроенная то возможно phy чипсет глючит....не помню я атаки, выбивающие винамп.