Неопределенный трафик

Тема в разделе 'Компьютерная безопасность', создана пользователем alfroma, 8 ноя 2008.

  1. alfroma

    alfroma New Member

    В логах нода увидел такие строчки:
    08.11.2008 22:41:54 Готового к использованию правила не найдено 192.168.1.2 224.0.0.251 IGMP
    08.11.2008 22:41:58 Готового к использованию правила не найдено 192.168.1.2 239.255.255.250 IGMP
    В графе приложение пусто - так что кто ломится - непонятно.
    создал правило(на всяикй случай) о запрете любого трафика на диапазон 224.0.0.0 - 239.255.255.255
    этот диапазон, судя по ARIN, принадлежит компании Internet Assigned Numbers Authority. теперь раз примерно в 5-10 минут появляется увеомление о срабатывании правила, но все равно не видно, что обращается к адресам.
    кто-нибудь встречался с таким?

    Вопрос попутно. как-то включив компьютер не смог настроить вид папки, например, отображать скрытые папки и файлы... в проводнике просто нет таких настроек. потом возникла необходимость посмотреть реестр и меня остановило сообщение о том, что "Редактирование реестра запрещено вашим администратором"... что за напасть такая и как победить?
  2. G1n

    G1n El Moderator [программирование] Команда форума

    90% - вирус в системе. Для просмотра скрытых файлов используй Total Commander (с включенным отображением скрытых и системных файлов). Можно попробовать использовать какой-нибудь альтернативный редактор реестра.
    Плюс провериться из безопасного режима Kaspersky AVP Tool и CureIT. Безопасный режим вероятно тоже заблокирован.
    Про IGMP почитать можно например тут:
    _http://www.xserver.ru/computer/protokol/tcpip/3/13.shtml
  3. Zlobny

    Zlobny нихт о! Команда форума

    либо кривая сборка винды, либо не под админом.

    эта опция в свойствах папки. если нету - см. выше.

    Сколько сетевых карт/устройств на компе? Включая "FireWire".
    192.168.*.* - это локальные адреса, принадлежат чиста локальным сетям, как и 10.*.*.*, 172.21.*.*, ищи косяки/хвосты на своём компе. Если не нашёл - смотри первый ответ.
    Ma.ru.$я нравится это.
  4. alfroma

    alfroma New Member

    До вчерашнего дня все было нормально. т.е. мог свободно включать/отключать отображение скрытых объектов. Пользователь на машине только один - я, с правами администратора, гостевая учетка отключена.
    192.168.*.* - это моя домашняя сеть, всего сетевых интерфейсов - 2 LAN-порта, один из них вообще не задействован.
    G1n - за ссылки спасибо.
  5. G1n

    G1n El Moderator [программирование] Команда форума

    Попробуй зайти в безопасный режим. Не получится - точно вирус (обратное не верно).
  6. alfroma

    alfroma New Member

    так, мужики... похоже совсем тазик...
    применил софтинку, которую дал G1n, не перезагружаясь нормально зашел в свойства папки, все хорошо... потом перегрузился в безопасный режим. там тоже все нормально. но после перезагрузки в нормальный режим не запускается ни один ехе!!! пишу с бука, т.к. на большом брате ничего нельзя запустить. появляется сообщение "действие отменено в следствие действующих ограничений для данного компьютера. обратитесь к администратору."
  7. G1n

    G1n El Moderator [программирование] Команда форума

    Приношу свои глубочайшие извинения. Видимо это утилита всё рушит. Раньше проблем не было. Постараюсь исправить ситуацию - поищу способ как восстановить запуск exe-файлов.
    Полностью признаю свою вину...
  8. alfroma

    alfroma New Member

    G1n - в смысле? какую вину? никто тебя ни в чем не обвинял. это даже не размышления были а просто восстановление последовательности действий. :)
    а тулза реально чтоли все корябает? просто сейчас попробовал как-то отменить ее децствие в безопасном режиме, так и в безопасном то же самое - ехе не запускаются "в виду ограничений".
  9. lugator

    lugator Active Member

    Kaspersky rescue disk.Новейшая разработка лаборатории Касперского, которая позволяет убивать абсолютно любые вирусы, включая даже самые опасные, при которых невозможно дойти до загрузки Windows. Программа представляет собой iso-образ мультизагрузочного диска. Чтобы работать с ним, нужно записать ISO образ на CD диск, затем вставить диск в CD-ROM, и загрузиться с него. Уникальная особенность этого инструмента заключается в том, что он позволяет производить загрузку из BIOS, даже не входя в системную оболочку Windows. Фактически, это всемогущий инструмент для борьбы с вирусами. Имея его в наличии, можно спасти самый безнадежный компьютер и всю ценную информацию на нем.

    Записать образ на CD диск можно с помощью распространенных программ, таких, как Nero, Alcohol, CloneCD, и т. д. Не рекомендуется записывать диск на высокой скорости, т. к. могут возникнуть проблемы при считывании. Оптимальная скорость – 12х.

    ищи в п2п ник king_diamond

    Для того, чтобы загрузиться с диска из BIOS, следует при включении компьютера не доходя до загрузочного экрана нажать несколько раз клавишу F9 (возможно F8, F4,или F12 это зависит от материнской платы), затем уже можно из загрузочного меню управлять программой.

    Благодаря уникальным технологиям, внедренным разработчиками, борьба с вирусами вышла на новый уровень. Теперь есть возможность без проблем справиться с самыми новыми и опасными вирусами, и при этом сохранить работоспособность системы Windows.
  10. G1n

    G1n El Moderator [программирование] Команда форума

    В этом и дело! Я себе щас систему уронил также! Акронисом поднял. Автору написал гневное письмо. Я действительно виноват! :sad: Прога корявая, чтоб её! :rant:
    rusmikev нравится это.
  11. alfroma

    alfroma New Member

    lugator - не актуально, ибо даже р2р-клиент не грузится. не грузится ничего из автозапуска, тем более не грузится такой монстр как неро...
  12. alfroma

    alfroma New Member

    G1n - ясно. грустно.
    у меня к сожалению, бэк-апы отсутствуют, как всей системы, так и реестра в частности(насколько понимаю, именно реестр в ответе за эти глюки)...
  13. G1n

    G1n El Moderator [программирование] Команда форума

    Спросил автора, он вроде в реестре шарит. Может подскажет как это всё исправить. Всё, больше не верю программистам-самоучкам-фрилансерам хреновым... Щас в инете попробую надыбать.
    А восстановление системы работало раньше?
  14. alfroma

    alfroma New Member

    наблюдение за системой велось, только вот не запускается восстановление...
  15. G1n

    G1n El Moderator [программирование] Команда форума

    Где-то в систем волюм лежат файлы реестра, у тебя нету LiveCD какого-нибудь? Думаю в крайнем случае можно поставить Windows в режиме восстановления.
  16. alfroma

    alfroma New Member

    о!!! режим восстановления! точно, про него-то я и не подумал. еще надо покопаться в Hiren's boot cd, мож там найду чего-нибудь полезного. но это только завтра - жена спать хочет:)
    G1n - буду благодарен, если найдется какой-нибудь способ починить систему.
  17. G1n

    G1n El Moderator [программирование] Команда форума

    Ок. Пока ищу...
    Буду в этом посте писать всё полезное.

    C:\WINDOWS\system32\config\ - тут лежат текущие файлы реестра.
    C:\System Volume Information\_restore{DA43683D-441E-465E-9AE5-0D56DC84DC7A}\RP19\snapshot\ - а тут резервные копии, но под другими именами (у тебя будет немного другой путь).

    По идее их нужно оттуда вытянуть и положить в исходную папку с соответсвующими именами, т.е.:
    1) Переименуем файлы реестра например _REGISTRY_MACHINE_SOFTWARE в просто "Software" (и так все файлы реестра, в соответствие с именами).
    2) Копировать с заменой в C:\WINDOWS\system32\config\.
    3) Перезагрузиться.
    Должно помочь. Могут быть проблемы с доступом в папку System Volume Information.
    Делается это всё из-под LiveCD, причём почти гарантия что восстановления удастся (если конечно восстановление системы работало).

    Другой способ: поставить ОС в режиме восстановления (должен быть тот же диск, с которого ставилась система и вроде с тем же сервис паком что и сейчас).

    Автор "чудо-проги" ответил - несёт чушь всякую (цитировать не буду).
  18. Человече

    Человече New Member

    По активности IGMP - это стандартное поведение любой винды - первым делом после загрузки она стучит своему хозяину именно на эти адреса. IGMP - протокол подписки на широковещательное видео, но здесь, видимо, используется не по назначению. Можешь со спокойной совестью закрывать весь IGMP, врядли он тебе понадобится.
    По поводу экзешников - была такая фигня после лечения какого-то вируса вручную. Попробуйте переименовать файл в .cmd или .bat - должно помочь хотябы запустить regmon.exe. Я тогда с проблемой справился правкой реестра, но как - не вспомню. Попробуйте экспортировать-импортировать ветку, отвечающую за связь расширений файлов и приложений - это было где-то там.
  19. alfroma

    alfroma New Member

    обнаружил, что проблема связана с разграничениями прав пользователей, т.к. вновь созданный пользователь в справами администратора может делать все без ограничений, в отличие от встроенной учетки админа... как это может помочь? просто я не особо силен в политиках безопасности. как изменить эти самые политики для встроенного пользователя администратора?
    ЗЫ: загрузочный диск хирена и восстановлене системы не помогло:(
  20. G1n

    G1n El Moderator [программирование] Команда форума

    А пробовал по F8 загружать последнюю успешную конфигурацию с работоспособными параметрами?
    Ветки реестра у меня не импортировались - система отказывалась это делать. Вот интересная ссылка:
    _http://kadets.info/showthread.php?p=660835
    Попробуй скачать AVZ, переименовать её (как советует Человече) и попытаться восстановить параметры.
    _http://rs306.rapidshare.com/files/105329630/avz4.zip
    Ещё можно попробовать утилиту plstfix (от Dr.Web) - попробуй переименовать.

    Вложения:

    • plstfix.zip
      Размер файла:
      62,5 КБ
      Просмотров:
      1

Поделиться этой страницей