Архив форумов ЦИТФорума

bumer · Гость

Результатом очередного запуска netstat стала не понятная для меня статистика: во внешних адресах номера порядка десятки тысяч, тем более, что это касается 135, 137, 138 портов. Раньше на этих портах было все по нулям. Никаких изменений (программных) на компьютере не было (ОС NT4+SP6a). После перезагрузки значения меняются, но остаются того же порядка. Что бы это значило?

Proto Local Address Foreign Address State
TCP NT:1030 0.0.0.0:43255 LISTENING
TCP NT:135 0.0.0.0:2143 LISTENING
TCP NT:135 0.0.0.0:59497 LISTENING
TCP NT:1027 0.0.0.0:10396 LISTENING
TCP NT:1027 localhost:1030 ESTABLISHED
TCP NT:1030 localhost:1027 ESTABLISHED
TCP NT:3351 0.0.0.0:43224 LISTENING
TCP NT:137 0.0.0.0:2079 LISTENING
TCP NT:138 0.0.0.0:10280 LISTENING
TCP NT:nbsession 0.0.0.0:10269 LISTENING
TCP NT:1230 0.0.0.0:51330 LISTENING
TCP NT:1230 NT1:nbsession ESTABLISHED
TCP NT:1250 NT1:nbsession TIME_WAIT
TCP NT:1251 0.0.0.0:43101 LISTENING
TCP NT:1251 NT2:nbsession ESTABLISHED
TCP NT:1252 0.0.0.0:10435 LISTENING
TCP NT:1252 NT1:nbsession ESTABLISHED
UDP NT:135 *:*
UDP NT:nbname *:*
UDP NT:nbdatagram *:*

and3008

Это значит, что у вас на компе живет вирус.

С чем вас и поздравляю.

bumer · Гость

Касперский (серверная версия) ничего не находит, что еще можно сделать?

and3008

А базы у него от какого века?

bumer · Гость

Базы у него от 23 апреля 2004 года.

and3008

Тогда х.з.

bumer · Гость

Неужели никто не сталкивался с такой ситуацией?

and3008

Если у тебя 11 тыс. сединений по портам 135-139, то вариантов 3.

1. Этот сервер обслуживает большое кол-во клиентов. Не просто большое, а очень большое.

2. Сервер заражен вирусом (Nimbda, Sogib и ему подобные) и пытается заразить другие машины.

3. Сервер является атакуемым со стороны других компов.

Лечение:
По п.1 - если производительность устраивает, то ничего и не меняйте.

По п.2 - лечитесь. Возможно вирус заслан к вас специально и антивирус его не может обнаружить, т.к. не имеет нужной сигнатуры. Посмотрите список процессов, папку "Автозагрузка", файлы system.ini, win.ini, ключи реестра "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run", "HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run"

По п.3 - установить FireWall, скачайте с сайта windowsupdate.microsoft.com последние заплатки.

bumer · Гость

Большое спасибо, всегда знала, что Вы в беде не бросаете. П.1 отпадает, по П.2 все что можно было исследовано вдоль и поперек. Что касается П.3 (FireWall), то он на стадии разработки.
Что самое непонятное - комп отключен от сети, а статистика в тех же порядках. Утешает то, что IP-TOOLS показал идеальную картинку. Может все не так и плохо, глюк какой нибудь. Буду продолжать обследовать систему.

and3008

Очень бы хотелось увидеть список процессов.

Частько все сразу становится понятно.

И 11 тыс.коннектов - это откуда, если комп отключен от сети?
Или сеть - это Сеть? Т.е. Internet?

bumer · Гость

Список следующий:
AvpM.exe
AvpM.exe
csrss.exe
explorer.exe
llssrv.exe
locator.exe
lsass.exe
nddeagn.exe
ntbtrv.exe
ntdbsmgr.exe
ntvdm.exe
wowec.exe
OSA.exe
Pstores.exe
RpcSs.exe
Services.exe
Smss.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Сеть - локалка, выдернут шнурок из сетевой карты.

and3008

А почему сразу н сказали, что на компе работает СУБД Btrive?
Это военная тайна, да?

Еще раз суть вопроса. Я не понимаю проблеммы.

poluchaynik · Гость

porobuyte udalit` wowec.exe
on mne ne nravitsya Very Happy

bumer · Гость

Нет, конечно, не военная тайна. СУБД установлена, но практически не используется. Суть проблемы - не понятная для меня статистика netstat: когда, практически, изо дня в день одно и то же (можно сказать) и вдруг такая резкая смена "декораций". Возникли подозрения, а знаний не хватает.

P.S. wowec это на самом деле wowexec.

Real · Гость

Где 11 тысяч коннектов? Большое число - это же номер порта? Тем более, написано Listening, то есть компьютер только слушает (ждет соединения с другого компьютера с этого порта), а установленные соединения - ESTABLISHED, отдельная строчка для каждого соединения.

Попробуй поискать, какие программы слушают на каких портах у тебя, обсуждение на эту тему здесь:

<a href=http://portal.sysadmins.ru/board/viewtopic.php?t=42617>http://portal.sysadmins.ru/board/viewtopic.php?t=42617</a>

	Список форумов Архив форумов ЦИТФорума -> Windows	Часовой пояс: GMT + 3
Страница 1 из 1