8 ответов в этой теме

[jarbyst]

Добрый день. dwnetfilter отправляет постоянные syn запросы на один из компьютеров в локальной сети(не сервер) на порт 9091. Выглядит не нормально.

[Kirill Polubelov]

Добрый день. Подробностей, конечно, маловато, но можно предположить, что какое-то приложение на данном ПК это делает, а данный запрос проходит через нетфильтр.

Подробности можно попытаться узнать в логе: %ProgramData%\Doctor Web\dwnetfilter.log

[jarbyst]

Добрый день. Подробностей, конечно, маловато, но можно предположить, что какое-то приложение на данном ПК это делает, а данный запрос проходит через нетфильтр.

Подробности можно попытаться узнать в логе: %ProgramData%\Doctor Web\dwnetfilter.log

а подробностей вообщем-то больше  особо и  нет. Есть  терминальный windows server 2022.  через  wireshark видим постоянные syn запросы c него на ip в локальной сети на порт 9091. удалось вычислить pid процесса владельца и это нетфильтр.

Спасибо за предположение , попробуем посмотреть логи фильтра. Планирую попробовать переустановить антивирус , и еще раз после удаления посмотреть будут запросы лететь или нет.

Вообще похоже на вирус, удаленный комп к которому летят запросы  пока изолировали. Drweb ничего не находит.

[jarbyst]

никакого софта или служб которые это могут делать на сервере нет, к удаленной машине к которой он шлет syn тоже никакого отношения он не имеет кроме того что они в одной сети. запросы идут каждую секунду , ответа на них нет. Если отключить все службы кроме микрософт  и удалить весь софт тот же результат.  Несколько месяцев назад наблюдали похожую активность на нескольких машинах в сети. Вылечилось только полной переустановкой системы. Тогда же два месяца назад на машине к которой шли подобные syn запросы обнаружили трафик на ряд  частных внешних адресов, их благополучно заблокировали.  Не доктор веб ни какие другие антивирусы  тогда ничего не нашли. единственным маркером был трафик. 

Сообщение было изменено jarbyst: 20 Март 2024 - 11:55

[Kirill Polubelov]

Нетфильтр сам по себе запросы не отправляет. Запросы инициирует и осуществляет какое-то приложение на ПК, нетфильтр его только перехватывает и по возможности проверяет. Какое приложение высовыввается на 9091 в логе нетфильтра можно увидеть. Возможно, потребуется увеличить подробность логгирования.

Сообщение было изменено Kirill Polubelov: 20 Март 2024 - 11:54

[jarbyst]

Нетфильтр сам по себе запросы не отправляет. Запросы инициирует и осуществляет какое-то приложение на ПК, нетфильтр его только перехватывает и по возможности проверяет. Какое приложение высовыввается на 9091 в логе нетфильтра можно увидеть. Возможно, потребуется увеличить подробность логгирования.

спасибо попробуем.

в логах вижу записи типа [20/03/2024 12:25:25 0001e430] <DEBUG:1> Trying to connect to: 192.168.7.7:9091  Правильно ли я понимаю что 0001e430 это идентификатор соединения по которому стоит смотреть все записи относящиеся к данному соединению? 

[Kirill Polubelov]

Вообще похоже на вирус

Если есть подозрение на заражение на этом ПК, лучше не откладывая в долгий ящик, собрать сисинфо и обратиться в нашу СТП.

[Kirill Polubelov]

Правильно ли я понимаю что 0001e430 это идентификатор

Да, верно, id треда.

[jarbyst]

 

Правильно ли я понимаю что 0001e430 это идентификатор

Да, верно, id треда.

ну кроме него ничего там и нет. Ладно будем искать, спасибо.