Тема: WinRoute - все вопросы и ответы здесь
Показать сообщение отдельно
Старый 22.05.2007, 14:39     # 1594
Alex Dark
КОТовский
 
Аватар для Alex Dark
 
Регистрация: 12.03.2003
Адрес: ОренБюргер
Пол: Male
Сообщения: 1 569

Alex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех ГуруAlex Dark Отец (мать) всех Гуру
Цитата:
Сообщение от shiraza Посмотреть сообщение
Лучше не бань, а позвони им и расскажи о наблюдениях
Ну так откуда я узнал что это
Цитата:
Сообщение от Alex Dark Посмотреть сообщение
Это один из пользователей моего провайдера
С тулсами поковырялся (rootkitrevealer ). Вроде ни чего не показал страшного
rootkitrevealer
Цитата:
HKLM\SECURITY\Policy\Secrets\SAC* 03.02.2005 13:11 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 03.02.2005 13:11 0 bytes Key name contains embedded nulls (*)
C:\Documents and Settings\ 22.05.2007 9:37 0 bytes Hidden from Windows API.
C:\Documents and Settings\ 22.05.2007 8:59 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\ 22.05.2007 9:42 0 bytes Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\ 22.05.2007 9:05 3.41 MB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\ 22.05.2007 9:05 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{5F2C17C0-9740-4FCB-80AE-F92696118849}\RP310\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-21-2245641024-4230493894-3374578533-1004 17.01.2006 16:59 256.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{5F2C17C0-9740-4FCB-80AE-F92696118849}\RP310\snapshot\_REGISTRY_USER_USRCLASS_S-1-5-21-2245641024-4230493894-3374578533-1006 08.02.2006 20:52 256.00 KB Visible in Windows API, but not in MFT or directory index.
.....
В C:\System Volume Information\_restore... много чего он написал и все.
В описании утилиты написано что она только выдает "подозрительные" факты, и типа принимать результаты сразу за истинну и принимать кл действия не стоит.

Вот сижу и думаю, что дальше?
Дело в том что керио выдает еще и еще аналогичные алерты.

Цитата:
[17/May/2007 08:36:37] PORTSCAN hostip="192.168.15.151" hostname="Orenburg-#####.ru" log="protocol: TCP, source: 192.168.15.151, destination: 192.168.15.76, ports: 1553, 1554, 1562, 1563, 1574, 1575, 1584, 1586, 1587, 1428, ..." time="Thu May 17 08:36:37 2007" username="not logged yet"
192.168.15.151 - внутренний IP роутера
Orenburg-#####.ru - Локальная страничка для тех кому нельзя в инет
Соответственно комп 192.168.15.76 я посмотрел. Нет ни чего подозрительного. rootkitrevealer - ом еще посмотрю и autorun-ом . На маомент этого алерта, комп от инета был отключен средствами роутера

Кроме того Каспер-Антихакер начал каждый час сообщать о сканировании портов извне
Последний раз редактировалось Alex Dark; 22.05.2007 в 14:53.
Alex Dark вне форума