Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Как можно вычислить процесс, который шлёт icmp-пакеты

1
RSS
 
rasskazov
rasskazov
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 05.03.2015
Размещено 12.03.2015 15:31:18
Снова возникла активность icmp трафика на рабочей станции. Думал проблема миновала.
В журнале ESET:
12.03.2015 14:31:31    Обнаружена уязвимость скрытого канала в ICMP-пакете    xxx.yyy.zzz.aaa    zzz.xxx.ccc.vvv    ICMP            

Помогите составить скрипт удаления.
Спасибо.

P.S: Может есть материал, который мне поможет самим писать подобные скрипты, чтобы я не занимал ваше время.
Изменено: rasskazov - 12.03.2015 16:41:09
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 16:41:52
давайте по каждому отдельному компу в отдельной теме разбираться. иначе путаница возникнет.

для самостоятельного изучения работы с uVS
http://pchelpforum.ru/f26/t94635/
Изменено: santy - 12.03.2015 16:42:31
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 16:50:17
этот файл проверьте, зачем он здесь

Цитата
Полное имя                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\CTFMON.EXE
Имя файла                   CTFMON.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   ctfmon [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
www.virustotal.com          2015-03-12
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     64-х битный
File_Id                     546F19715000
Linker                      12.0
Размер                      3072 байт
Создан                      09.04.2014 в 16:17:52
Изменен                     04.03.2014 в 11:16:17
                           
TimeStamp                   21.11.2014 в 10:52:33
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 3296                  HELIOS\rasskazov
Процесс создан              14:03:49 [2015.03.12]
С момента создания          00:14:52
parentid = 3860            
SHA1                        DA6CA57FA1A4B655626630091A7525A78A9111E3
MD5                         9D2AB1B66B4C40792246B918A2BD24EC
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3907708775-245259275-1662875392-2214\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON
CTFMON                      C:\Users\rasskazov\AppData\Roaming\Microsoft\ctfmon.exe u
                           
Образы                      EXE и DLL
CTFMON.EXE                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT
                           
Загруженные DLL             НЕИЗВЕСТНЫЕ
MSVCRX.DLL                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 12.03.2015 18:07:44
Тогда проверять все файлы в
C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\*
-------
 
1
Читают тему