Перейти к содержанию
Kirkazon

Паразитный трафик достал!

Recommended Posts

Kirkazon

Только разобрался с антивирусами, появилась новая напасть. Стоял у меня на компе файрвол Agnitum 1.00, и хорошо защищал от паразитного трафика (у меня интернет спутниковый через GPRS). В результате восстановлений системы файрвол начал глючить, я его удалил и поставил снова Agnitum, но уже поновей - PRO. По идее, принцип работы что у того, что у другого должен быть один. Но этот новый НЕ ПРЕДОХРАНЯЕТ ОТ ПАРАЗИТНОГО ТРАФИКА!!! То ли я чего не разберу, но с мобильного жрёт будь здоров, а как настроить файрвол, не знаю. Мне надо только чтобы не блокировалась намертво самим файрволом связь с интернетом, и чтобы с мобильного деньги не ело. Смотрел в процессы - вроде бы вмешивается netbios, но, очевидно, не только... В общем: что мне делать??? Своим собственным умишком мне в этом никак не разобраться!..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Переехали

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Напишите точно, как версия Agnitum Outpost Pro у вас сейчас стоит.

В общем: что мне делать??? Своим собственным умишком мне в этом никак не разобраться!..

После установки фаервол у вас сам автоматом настроился так, чтобы не мешать работе установленных приложений. Подкачивать может многое: обвновление windows, обновления антивируса, обновления другого софта (сейчас почти везде есть апейтеры свои, даже у photoshop или какой-нибудь java). Поэтому если какой-то трафик сейчас идет, но с точки зрения корректности настроек он должен идти.

Если вы хотите зарезать весь трафик, кроме браузера, то нужно вручную настроить правила работы для приложения. Посмотрите настройки, каким программам разрешено лазить в сеть и запретите все избыточные. Рекомендую делать это постепенно, отключать - проверять работоспособоность браузера, потом отключать еще и опять проверять рабостоспособность и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600
а как настроить файрвол, не знаю.

Agnitum - это не спасение от всех проблем. Есть множество других продуктов, других производителей. ;) Но, для Вас, самое лучшее - чтение документации поставляемой с продуктами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Agnitum - это не спасение от всех проблем. Есть множество других продуктов, других производителей. ;)

...которые тоже не являются 'спасением от всех проблем' если необходимых знаний нет.

Но, для Вас, самое лучшее - чтение документации поставляемой с продуктами.

Документация на такие вопросы ответа не даёт; по крайне мере: я таких справок к продуктам ещё не видел...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
losiar

У меня похожая проблем, тоже спутниковый инет и GPRS. Шёл паразитный трафик, не мог разабраться откуда идёт. В общем нашёл в Администрировании, службаы(локальные), остановил. Потом через какое-то время Терминатор тоже находит и блокирует эту службу:Backdoor.IRCBot.kjv(Backdoor)

C:\WINDOWS\SYSTEM\WMISYM.EXE Интересно, что это такое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
У меня похожая проблем, тоже спутниковый инет и GPRS. Шёл паразитный трафик, не мог разабраться откуда идёт. В общем нашёл в Администрировании, службаы(локальные), остановил. Потом через какое-то время Терминатор тоже находит и блокирует эту службу:Backdoor.IRCBot.kjv(Backdoor)

C:\WINDOWS\SYSTEM\WMISYM.EXE Интересно, что это такое?

Проверьте файл на VirusTotal ссылку на результат выложите здесь, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
WMISYM.EXE

У него могут быть разные названия, но зловред в целом уже хорошо известен:

Подробнее см. тут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
losiar
Проверьте файл на VirusTotal ссылку на результат выложите здесь, пожалуйста.

Как я непытался, но этот файл не нашёл, не видно его. Искал поиском и в ручную. Может ещё как-то можно найти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Как я непытался, но этот файл не нашёл, не видно его. Искал поиском и в ручную. Может ещё как-то можно найти?

losiar: "...Потом через какое-то время Терминатор тоже находит и блокирует эту службу:Backdoor.IRCBot.kjv(Backdoor)

C:\WINDOWS\SYSTEM\WMISYM.EXE..."

А что за Терминатор, по ходу?... У него есть функция перемещения найденных файлов в карантин или хотя их переименования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
losiar
losiar: "...Потом через какое-то время Терминатор тоже находит и блокирует эту службу:Backdoor.IRCBot.kjv(Backdoor)

C:\WINDOWS\SYSTEM\WMISYM.EXE..."

А что за Терминатор, по ходу?... У него есть функция перемещения найденных файлов в карантин или хотя их переименования?

Spyware Terminator, да у него есть карантин. Но файл WMISYM.EXE. я искал ещё до того когда его обнаружил Terminator

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Spyware Terminator, да у него есть карантин. Но файл WMISYM.EXE. я искал ещё до того когда его обнаружил Terminator

Проще по логам погадать -- зайдите на http://freedrweb.com/ , скачайте Dr.Web CureIt!, сделайте экспресс-проверку и полученный лог (%USERPROFILE%\Doctor WEb\Cureit.log) скиньте мне на почту: [email protected]

Скачайте к тому же http://www.trendsecure.com/portal/en-US/_d.../HJTInstall.exe, выполните сканрование (Do a system scan and save a log file), полученный hijackthis.log киньте по тому же адресу.

Гляну логи, может, что и найдётся интересного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×