Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Часто выдается данное сообщение о скрытом канале ICMP

RSS
 
Egor Kondratyev
Egor Kondratyev
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.10.2018
Размещено 13.10.2018 19:31:33
Прикладываю логи в отчете.

Код
Время; событие; действие; источник; объект; протокол; правило/название червя; приложение; пользователь
13.10.2018 19:02:00;Скрытый канал ICMP;Заблокировано;213.141.***.***;80.68.78.99;ICMP;;;

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.10.2018 15:23:53
Цитата
Egor Kondratyev написал:
Выполнил скрипт последний. Пока сообщений таких нет. Обычно при старте вылезало сразу

вообще-то LOIC судя по образу запускался вручную, из архива zip
"C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"
[ Как создать образ автозапуска? ]
 
Egor Kondratyev
Egor Kondratyev
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.10.2018
Размещено 15.10.2018 18:36:22
Цитата
santy написал:
Цитата
 Egor Kondratyev  написал:
Выполнил скрипт последний. Пока сообщений таких нет. Обычно при старте вылезало сразу
вообще-то LOIC судя по образу запускался вручную, из архива zip
"C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"
Да, LOIC запускаю сам, когда проверяю веб-сервер на нагрузки.

Прикладываю файл журнала
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.10.2018 19:01:37
запись в логе старая.

Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
25.09.2018 11:36:14;Модуль сканирования JavaScript;файл;https://rotumal.com/4/1241630/;JS/Adware.Agent.AA приложение;заблокирован;DESKTOP-K4B0RPC\furry;Обнаружена угроза при попытке доступа в Интернет следующим приложением: F:\Program Files (x86)\Google\Chrome\Application\chrome.exe (5C8D9AD934D9F670976AFAC0749DF1F37A6CA4EF).;376E74030E46B9637B6011D7F4B6CB9EDB757DA3;

нужны детекты, которые связаны именно с вашей проблемой.
ведь были в журнале более свежие детекты, судя по первому сообщению

Цитата
Время; событие; действие; источник; объект; протокол; правило/название червя; приложение; пользователь
13.10.2018 19:02:00;Скрытый канал ICMP;Заблокировано;213.141.***.***;80.68.78.99;ICMP;;;
[ Как создать образ автозапуска? ]
 
Egor Kondratyev
Egor Kondratyev
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.10.2018
Размещено 15.10.2018 19:11:00
Эти события во вкладке сетевых событий
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 16.10.2018 14:50:20
Цитата
Egor Kondratyev написал:
Эти события во вкладке сетевых событий
а имя приложения не фигурирует в логе?
Цитата
Время; событие; действие; источник; объект; протокол; правило/название червя; приложение; пользователь
как часто это сообщение (Скрытый канал ICMP;Заблокировано) появляется после очистки системы от LOIC, (или если LOIC не запущен в системе у вас)?
[ Как создать образ автозапуска? ]
 
Egor Kondratyev
Egor Kondratyev
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.10.2018
Размещено 16.10.2018 19:21:16
Цитата
santy написал:
как часто это сообщение (Скрытый канал ICMP;Заблокировано) появляется после очистки системы от LOIC, (или если LOIC не запущен в системе у вас)?
Иногда раз в 15 минут, иногда раз в сутки. Появляется порой даже сразу после запуска системы.
 
Пред. 1 2
Читают тему