Атака на переполнение TCP SYN , ESET Endpoint Security v 6.4.2014.2 ничегоне находит

1
RSS
Windows Server 2016 Essentials + ESET Endpoint Security v 6.4.2014.2  выдается сообщение "Атака на переполнение tcp syn"  (с указание адреса атакующей машины, типа 192.168.1.ХХ). Я так понимаю удаленный компьютер пытается создать большое количество соединений с целью переполнение стека?  На удаленном компьютере установлен такой же антивирусный продукт. Обновил антивирус, проверил атакующий компьютер на вирусы. Ничего не нашел. В какую сторону копать? Компьютер и сервер находятся в локальной сети, одна подсеть.
Цитата
Sergey St написал:
Проверил атакующий компьютер на вирусы. Ничего не нашел.

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Образ автозапуска выложил сюда http://rgho.st/6J2DjFfmr
Похоже, что дело в одной из программ отвечающих за обеспечение безопасности предприятия.
Например в продукте от Searchinform .
+
В системе есть небольшой мусор от ASK\TOOLBAR
Его можно удалить выполнив ниже приложенный скрипт, или вручную.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deldir %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11406&PF=V7&TRGB=IE&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GCT=HP&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_10.0.9200.16635&APN_UID=D727BA55-CAB0-45E8-B89C-F89D3C9156E3&ITBV=12.24.1.51&DOI=2015-04-21&PSV=&PT=TB
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=^BBE^OSJ000^YY^RU&GCT=&ITBV=12.24.1.51&APN_UID=D727BA55-CAB0-45E8-B89C-F89D3C9156E3&APN_PTNRS=BBE&APN_DTID=^OSJ000^YY^RU&APN_DBR=IE_10.0.9200.16635&DOI=2015-04-21&TRGB=IE&Q={SEARCHTERMS}&PSV=&PT=T
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
deltmp
delnfr
restart



1
Читают тему (гостей: 1)