Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

hzmksreiuojy , трафик ссыпиться с hzmksreiuojy на мой хост.

RSS
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 31.07.2014 16:51:23
Здравствуйте Уважаемые Тех. специалисты, форумчани!
У меня вот такая проблема на сервере gateway.
Пользуюсь лицензионным антивирусом ESET Endpoint.
Он постоянно блокирует обращение каких-то разных хостов, IP по адресу
http://hzmksreiuojy.ru/ldr.php
http://hzmksreiuojy.biz/ldr.php

Я не знаю, каким образом можно решить этот вопрос.
В службах ничего не нашел подозрительного, по TCPview тоже не вижу откуда происходит запуск и куда обращается.
Но вижу что много пакетов идут в обращения моего хоста.

Можете что то по рекомендовать? от есета или же альтернативные решения.

Спасибо за рассмотренный вопрос.

С Уважением.

Ответы

Пред. 1 2 3 След.
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 14:14:38
Я извиняюсь, Вот пожалуйста. IE только установлен у меня.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2014 15:31:27
т.е. расширений вообще нет для браузеров? + вопрос:
сообщения ESET о блокировке адреса всплывают при загруженном браузере, или независимо от браузера?
с какой периодичностью?

+
добавьте лог проверки в tdsskiller

Скачайте, распакуйте и запустите TDSSKiller:

http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
Изменено: santy - 01.08.2014 15:37:12
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 15:58:27
Цитата
78599 пишет:
ESET о блокировке адреса всплывают при загруженном браузере, или независимо от браузера?
всплывает не зависимо от браузера. т.е какие то активные обращения с разных айпи адресов идут на хост и есет их блочит.
с периодичностью 5-15 секунд. я посмотрел домен http://hzmksreiuojy.ru/ сам находит в черных списках и зареган с мая месяца 2014 г.
Может его просто необходимо оставить с помощью жалобы?
Вот сейчас проверил, что делать? можно удалять его? SPTD не обнаружил как вирус.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2014 16:14:24
сделайте образ автозапуска из под winpe&uVS.
http://forum.esetnod32.ru/forum27/topic2102/
может есть скрытые объекты

+
если есть возможность, закарантиньте этот подозрительный драйвер, и вышлите в почту
[email protected]
Изменено: santy - 01.08.2014 16:21:58
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 16:19:49
именно winpe&uVS. ??
я делал в безопасном режиме uVS
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 16:24:09
Цитата
78601 пишет:
[email protected]
он почему то мне не дает, даже скопировать.
Каким образом можно это сделать? в безопасном ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2014 16:24:18
а зачем вы второй раз один и тот же образ добавили?

сделайте образ автозапуска из под winpe&uVS.
http://forum.esetnod32.ru/forum27/topic2102/
может есть скрытые объекты

+
если есть возможность, закарантиньте этот подозрительный драйвер, и вышлите в почту
[email protected]
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 16:29:01
хорошо, сделаю образ именно winpe&uVS и попробую его отправить потом [email protected].
как сделаю выложу логи сюда.
Спасибо.
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 04.08.2014 08:18:47
в течение дня попробую снять образ через uVs повторно.
Но вот смотрю трафик идет с IP
69.195.129.70
195.22.26.231
195.22.26.252
195.22.26.253
195.22.26.254
Благодаря ESET и технологии HIPS он их блокирует, а как можно их вообще заблокировать?
спасибо
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.08.2014 08:56:15
т.е. это входящий трафик, а не исходящий?
создайте правила на входящие из внешней сети, которые вы разрешаете, остальное все запретите
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 След.
Читают тему