Форум esetnod32.ru [тема: Как можно вычислить процесс, который шлёт icmp-пакеты] http://forum.esetnod32.ru Новое в теме Как можно вычислить процесс, который шлёт icmp-пакеты форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 23:42:51 +0300 Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Тогда проверять все файлы в
C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\*
-------
12.03.2015 18:07:44, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11789/message83457/ http://forum.esetnod32.ru/messages/forum6/topic11789/message83457/ Thu, 12 Mar 2015 18:07:44 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
этот файл проверьте, зачем он здесь


====quote====
Полное имя                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\CTFMON.EXE
Имя файла                   CTFMON.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   ctfmon [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
www.virustotal.com          2015-03-12
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     64-х битный
File_Id                     546F19715000
Linker                      12.0
Размер                      3072 байт
Создан                      09.04.2014 в 16:17:52
Изменен                     04.03.2014 в 11:16:17
                           
TimeStamp                   21.11.2014 в 10:52:33
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 3296                  HELIOS\rasskazov
Процесс создан              14:03:49 [2015.03.12]
С момента создания          00:14:52
parentid = 3860            
SHA1                        DA6CA57FA1A4B655626630091A7525A78A9111E3
MD5                         9D2AB1B66B4C40792246B918A2BD24EC
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3907708775-245259275-1662875392-2214\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON
CTFMON                      C:\Users\rasskazov\AppData\Roaming\Microsoft\ctfmon.exe u
                           
Образы                      EXE и DLL
CTFMON.EXE                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT
                           
Загруженные DLL             НЕИЗВЕСТНЫЕ
MSVCRX.DLL                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT
                           
=============

12.03.2015 16:50:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11789/message83454/ http://forum.esetnod32.ru/messages/forum6/topic11789/message83454/ Thu, 12 Mar 2015 16:50:17 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
давайте по каждому отдельному компу в отдельной теме разбираться. иначе путаница возникнет.

для самостоятельного изучения работы с uVS
http://pchelpforum.ru/f26/t94635/
12.03.2015 16:41:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11789/message83453/ http://forum.esetnod32.ru/messages/forum6/topic11789/message83453/ Thu, 12 Mar 2015 16:41:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Как можно вычислить процесс, который шлёт icmp-пакеты Как можно вычислить процесс, который шлёт icmp-пакеты в форуме Обнаружение вредоносного кода и ложные срабатывания.
Снова возникла активность icmp трафика на рабочей станции. Думал проблема миновала.
В журнале ESET:
12.03.2015 14:31:31    Обнаружена уязвимость скрытого канала в ICMP-пакете    xxx.yyy.zzz.aaa    zzz.xxx.ccc.vvv    ICMP            

Помогите составить скрипт удаления.
Спасибо.

P.S: Может есть материал, который мне поможет самим писать подобные скрипты, чтобы я не занимал ваше время.
NEXUS_2015-03-12_14-14-51.7z
12.03.2015 15:31:18, rasskazov.]]> http://forum.esetnod32.ru/messages/forum6/topic11789/message83450/ http://forum.esetnod32.ru/messages/forum6/topic11789/message83450/ Thu, 12 Mar 2015 15:31:18 +0300 Обнаружение вредоносного кода и ложные срабатывания