кто стучится в дверь мою? (ну или стену)
 

Собственно в чем проблема начал разбираться в подробностях что и как происходит во время подключения к сети, и почему при включении системы она пытается подключится к сети, во всяком случае предлагает это мне сделать. Сейчас стоит винда милениум, стенка Sygate Pro 5.5 при подключении наблюдаю следующие подозрительные процессы (я их не запускал и не знаю)
1. explorer.exe протокол ТСР локал порт 6767 процесс 4294877743 путь с\win\explorer.exe
2. три процесса kernel32.dll протоколы UDP и ТСР локал порты 137,138,139 процесс 4291760819 путь с\win\sistem\kernel32.dll
Это все блокировано поэтому сказать куда они должны ломится не знаю:( но может кто ни будь об этом знает. Да и еще это все как то связанно с BMC pereform agent в первом случае и netbios во втором

kernel32 - это, собственно, ядро Винды, а explorer - "оконный менеджер" с помощью которого ты управляешь операционной системой. Они не нуждаются в разрешении на запуск, потому что они и есть операционная система.

Далее по портам:
137=NETBIOS-NS - NETBIOS Name Service
138=NETBIOS-DGM - NETBIOS Datagram Service
139=NETBIOS-SSN - NETBIOS Session Service
у тебя, наверное, не отключен протокол NETBIOS и при каждом подключнии Винда сканирует сеть на расшаренные ресурсы и пытается получить информацию о ней.
А по поводу порта 6767 я не могу сказать ничего :( . Может быть ты описался? В принципе, это может использоваться для каких-либо целей. Но так же есть возможность, что это троян.

А твой компьютер - часть локальной сети?

kernel32 может быть т.к. другое название этого Компонент ядра Вин32
теперь по поводу эксплоера у меня получается их 2 один сидит в папке винды (проходит как проводник) а второй просто интернет эксплоер сидит в своей папке. С этим понятно вот только должны ли они ломится в сеть или нет?
NETBIOS - напомни "плиз" где его надо отключать? Дальше по поводу портов сейчас зашел через другого провайдера стена показала что порт 20116 на первом пока не могу проверить средства кончились:(
Да и комп не часть локалки, стоит дома в гордом одиночестве;) Вот.

explorer.exe - это "оконный менеджер"! А интернет експлорер это - IEXPLORE.EXE
Попрошу не путать.

Отключаем NETBIOS следующим образом:
Зайти в свойства сети, убрать возможность шарить файлы и принтеры, в свойствах протокола TCP\IP - убрать возможность работать NETBIOS, перезагрузить комп.

Порт чего? Кто на этом порту хочет установить соединение? Соединение кокого типа ТСР или UDP? Соединение входящее или исходящее?

bmc-perf-agent 6767/tcp BMC PERFORM AGENT
bmc-perf-agent 6767/udp BMC PERFORM AGENT

oper
Что-то я непонял: почему explorer.exe ломится в сеть? Он не должен этого делать!

А разве стенка не показывает куда они ломятся?

Shanker
скорей проводник ломится, и стенка показывает кто, куда всё наглядно

Первое, стенка не показывает куда он ломится просто значек блокировки и в адресе одни 0.0.0.0.0.
А порты меняются сейчас explorer.exe ломится на локал порт 19625 по ТСР... Вот.

oper
Панель управления->Администрирование->Службы
Модуль поддержки NETBIOS через TCP/IP поставь в "Отключено"

Gerasim
NETBIOS так не отключится! Надо в свойсва соединения лезть: вкладка Сеть смотрим свойства компонента Internet Protocol (TCP\IP) Жмём Дополнительно и во вкладке WINS отключаем NETBIOS.

Подробнее - на скриншоте

Shanker
Что ты мудришь то, всю службу отрубил, и дело с концом. Все прекрасно отключается

Gerasim
Она у меня давно отрублена, а НЕТБИОС всё равно работает!

Да и потом: у меня в описалове к этой службе написано:

Чет я внимания не обратил, что у человека Windows ME, откуда там администрированию взяться, виноват

Вот Вот....
Но главное что волнует, троян есть или нет?
Чего проводнику в сети то надо.

oper
В процессах глянуть можешь чтоб убедиться на наличие трояна.

oper
Тогда зайди в панель управления-> Сеть, в свойствах протокола TCP/IP есть вкладка NetBIOS, там сними галочку с "Включить NetBIOS через TCP/IP"

нету:((( Там только привязка, дополнительно, конфигурация DNS
все.

Добавлено через 6 минут:
Вот список процессов:
Список запущенных процессов
ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ

#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4291761049
Threads : 6
Priority : High
FileSize : 524 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
Created on : 26.12.2003 12:03:29
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294923753
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
Created on : 26.12.2003 12:04:35
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:3 [spool32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294925761
Threads : 2
Priority : Normal
FileSize : 44 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1994 - 1998
CompanyName : Microsoft Corporation
FileDescription : Spooler Sub System Process
InternalName : spool32
OriginalFilename : spool32.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 26.12.2003 12:04:39
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:4 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294961397
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 26.12.2003 12:04:35
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:5 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294862165
Threads : 2
Priority : Normal
FileSize : 124 KB
FileVersion : 4.71.2721.1
ProductVersion : 4.71.2721.1
Copyright : (C)
InternalName : TaskScheduler
OriginalFilename : mstask.exe
Created on : 26.12.2003 12:04:35
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:6 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294867889
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 26.12.2003 12:05:20
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:7 [stmgr.exe]
FilePath : C:\WINDOWS\SYSTEM\RESTORE\
ProcessID : 4294861285
Threads : 5
Priority : Normal
FileSize : 60 KB
FileVersion : 4.90.0.2533
ProductVersion : 4.90.0.2533
InternalName : StateMgr.exe
OriginalFilename : StateMgr.exe
ProductName : Microsoft (r) PCHealth
Created on : 26.12.2003 12:04:40
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:8 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294954513
Threads : 15
Priority : Normal
FileSize : 220 KB
FileVersion : 5.50.4134.100
ProductVersion : 5.50.4134.100
Copyright : (C)
InternalName : explorer
OriginalFilename : EXPLORER.EXE
Created on : 26.12.2003 12:00:50
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:9 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294775001
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 26.12.2003 12:04:41
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:10 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294814257
Threads : 2
Priority : Normal
FileSize : 36 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : (C)
FileDescription : System Tray Applet
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
Created on : 26.12.2003 12:04:40
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:11 [rundll.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294834777
Threads : 1
Priority : Normal
FileSize : 4 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
InternalName : rundll
OriginalFilename : RUNDLL.EXE
Created on : 26.12.2003 12:04:38
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:12 [ninja.exe]
FilePath : C:\PROGRAM FILES\KEYBOARD NINJA\
ProcessID : 4294824673
Threads : 4
Priority : Normal
FileSize : 522 KB
Created on : 19.02.2003 4:37:05
Last accessed : 05.04.2004 13:00:00
Last modified : 27.10.2002 15:09:10

#:13 [tapisrv.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294818793
Threads : 7
Priority : Normal
FileSize : 120 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
OriginalFilename : TAPISRV.EXE
Created on : 26.12.2003 12:04:41
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:14 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294712405
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 4.90.2452.1
ProductVersion : 4.90.2452.1
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 26.12.2003 12:04:45
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:15 [smc.exe]
FilePath : C:\PROGRAM FILES\SYGATE\SPF\
ProcessID : 4294596473
Threads : 18
Priority : Normal
FileSize : 2280 KB
FileVersion : 5.5.00.2516
ProductVersion : 5.5.00.2516
Copyright : Copyright
CompanyName : Sygate Technologies, Inc.
FileDescription : Sygate Agent Firewall
InternalName : Smc
OriginalFilename : Smc.EXE
ProductName : Sygate
Created on : 21.10.2003 5:36:22
Last accessed : 05.04.2004 13:00:00
Last modified : 21.10.2003 5:36:22

#:16 [rnaapp.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294603833
Threads : 3
Priority : Normal
FileSize : 56 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
InternalName : RNAAPP
OriginalFilename : RNAAPP.EXE
Created on : 26.12.2003 12:04:37
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:17 [pstores.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294545429
Threads : 3
Priority : Normal
FileSize : 82 KB
FileVersion : 5.00.2133.2
ProductVersion : 5.00.2133.2
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : Protected storage server
InternalName : Protected storage server
OriginalFilename : Protected storage server
ProductName : Microsoft(R) Windows (R) 2000 Operating System
Created on : 26.12.2003 12:00:57
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:18 [iexplore.exe]
FilePath : C:\PROGRAM FILES\INTERNET EXPLORER\
ProcessID : 4294729085
Threads : 6
Priority : Normal
FileSize : 72 KB
FileVersion : 5.50.4134.100
ProductVersion : 5.50.4134.100
Copyright : (C)
FileDescription : Internet Explorer
InternalName : iexplore
OriginalFilename : IEXPLORE.EXE
Created on : 26.12.2003 12:00:53
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

#:19 [ad-aware.exe]
FilePath : C:\PROGRAM FILES\LAVASOFT\AD-AWARE 6\
ProcessID : 4294766053
Threads : 2
Priority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 24.05.2003 1:25:47
Last accessed : 05.04.2004 13:00:00
Last modified : 12.07.2003 11:00:20

Alrt
Не всё так просто! Как извесно, в Win9x и WinME скрыть процесс от диспетчера задач легко!
Кстати, в WinNT тоже несложно!

oper
Это можно выяснить используя хорошее ПО, которое показывает что и куда лезет!
Вообще, проводник может лезть в сеть к расшареным ресурсам:rolleyes:

Я и не говорил что нужно смотреть диспетчером задач, тем более в миллениуме, для таких дел уйма утилок есть.
oper
Нет у тебя троя в процессах.

Народ, да все у oper нормально. Если NetBIOS работает, то и ядро и проводник будут ломиться в сеть. Особенно если он в свойствах соединения поставил "Входить в сеть". Так что нужно просто снять эту галку, запретить шары файлов и принтеров и вырубить NetBIOS.

Ффуу.... успокоили;)

#:11 [rundll.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294834777
Threads : 1
Priority : Normal
FileSize : 4 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
InternalName : rundll
OriginalFilename : RUNDLL.EXE
Created on : 26.12.2003 12:04:38
Last accessed : 05.04.2004 13:00:00
Last modified : 08.06.2000 6:00:00

ubit eto.. i vilozit zdes dlja downloada... nado glanut.... 99.99% virus

SniFFeR
Чепуху говоришь. Это стандартная Виндовая процедура!
Цитату взял с Микрософта вот отсюда http://support.microsoft.com/default...b;en-us;272636

Даже не обращаясь к Мелкософту посмотри на даты создания системных файлов и увидишь, что все даты одинаковы (то есть все даты с момента установки Винды) Если бы это был вирус, то дата последней модификации была бы другая.

oper
Но ведь не трудно поставить любой популярный антивирус и убедиться, что никаких вирусов нет!

Gerasim
Как подсказывает опыт, службу "Модуль поддержки NETBIOS через TCP/IP" на компьютере в локальной сети обычно отключать не стоит, иначе не оберёшься проблем с доступом к шАрам.

Как я понял тут про локалку речь не идет

FantomIL
>>Чепуху говоришь
uze vizu :) sorry

RobЕсли у него сетки нет, нафига козе баян?

F А и не всегда помогают:( Была ситуация когда я точно знал что подхватил троян/вирус но вычистить его обычными прогами не смог, благо эту тему обсуждали, и я знал откуда надо начинать капать:) А сейчас знакомый влетел так что врагу не пожелаеш:( Вот по этому к проблеммам безопасности своего компа отношусь серьезно;)

Rob
Не будь таким уверенным в своей всезащищённости! Как только появляется новый вирь все антивирусники как один лажают!

У меня тоже проводник начал ломиться в инет... раньше этого не делал, на какойто сайт ломился, я Adawerом всё почистил и он туда уже не ломиться... в логах фаервола написано что он хочет соединиться с 127.0.0.1 порт 1518.

У меня вот какой вопрос! в последнее время Sygate Personal Firewall показывает следущее:
Security Type - Intrusion Detection System
Severity - Critical
Direction - Incoming
Protocol - TCP
Remote Host - каждый раз новый
Remote MAC - 03-00-20-00-03-00
Local Host - мой айпи
Local MAC - 00-00-03-00-00-00
Aplication name - svchost.exe

в лог файл записываеться
Весь комп проверил на вирусы и трояны доктором вебом и Trojan Remover ничего не нашли, вот сейчас качаю касперского.... и ещё начали приходить письма типа :
письмо с "мой адрес мыла" на *****@***.** не доставлено так как обнаружен вирус. И прилагаеться архим с вирусом... каждый раз новым.

Что мне делать.... это у меня троян сидит, или меня кто-то решил поатаковать?

Antonio explorer.exe это не тока проводник, это оболочка винды и есть, то бишь то, что перед собой ты видишь, рабочий стол, панель задач, и подобная шняга. 127.0.0.1 это твой комп, раньше оутпост этим страдал, сам себя спрашивал, и сам себя блокировал, щас вроде не заметно за ним такого

Ну вот! поставил касперкого... 8 известных вирусов.... 23 virus bodies!!!! доктор веб отдыхает в корзине для мусора:rolleyes:

Antonio
Вспоминаю рассказ о двух "хакерах", которые никак не могли ломануть сервак, у которого IP - 127.0.0.1:p
Ну, это так: к слову

Кто-то хочет поиметь твой комп, юзая дыру в DCOM RPC. Что это такое - поищи на форуме: тут у многих поника из-за этой бреши была.

Это тоже может оказаться напрасным

Два варианта:
1. Ты действительно заражён и письма действительно идут от твоего компа.
2. Просто рассылаются письма от твоего адреса, но с другого компа (наиболее вероятно)

Добавлено через 1 минуту:
Antonio
Я вообще непонимаю: как можно умудриться подхватить вирей! Разве что они все через DCOM RPC пролезли:rolleyes: