Перейти к содержанию

служба lsass.exe грузит весь исходящий канал


Рекомендуемые сообщения

Доброго времени суток господа гуру сисадмины

Прошу Вашей помощи

Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал

Прошу помощи

Перейдя по ссылке описаны все шаги и есть вложения

Спасибо

 

 

Ссылка на сообщение
Поделиться на другие сайты

Я бы для начала драйвера на сетевые карты обновил до актуальных версий. Плюс сделайте отчет gsi и выложите его сюда.

Ссылка на сообщение
Поделиться на другие сайты

Надо понять, на какие адреса идут запросы.
Для этого скачать Procmon:

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Оставить отображение сетевой активности.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Пoхоже вам необходимо попробовать использовать wireshark, чтобы проанализировать сетевой трафик, как возможный вариант идет атака на днс-сервер или ldap.

 

Я в логах увидел следующее правило:

FirewallRules: [{2663170C-AF77-4F32-BDD5-8A9D9F11DE09}] => (Block) LPort=389

уточните пожалуйста вы блокируете какой протокол TCP или UDP?

Ссылка на сообщение
Поделиться на другие сайты

Человек пишет, что трафик слишком большой именно исходящий. В случае сетевых атак трафик зашкаливал бы входящий. 

Ссылка на сообщение
Поделиться на другие сайты
19.01.2021 в 15:37, Andrey_06_kz сказал:

Доброго времени суток господа гуру сисадмины

Прошу Вашей помощи

Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал

Прошу помощи

Перейдя по ссылке описаны все шаги и есть вложения

Спасибо

 

 

Хочу сказать что решил проблему созданием правила в локальной политике безопасности на блокировку исходящего трафика 

Не знаю на сколько это правильно, но помогло

 

12 часов назад, SQ сказал:

Здравствуйте,

Пoхоже вам необходимо попробовать использовать wireshark, чтобы проанализировать сетевой трафик, как возможный вариант идет атака на днс-сервер или ldap.

 

Я в логах увидел следующее правило:



FirewallRules: [{2663170C-AF77-4F32-BDD5-8A9D9F11DE09}] => (Block) LPort=389

уточните пожалуйста вы блокируете какой протокол TCP или UDP?

и тот и то пробовал в брандмауэре, но результата не дало

в политике безопасности ip фильтрации 389 заблочил по udp и сразу норм всё стало

Но всё же хотелось бы узнать причину почему так происходит

Говорили что возможно такое бывает из-за обнов

Ссылка на сообщение
Поделиться на другие сайты

Почитайте ссылку, может натолкнет на какие-то идеи:

https://www.atlex.ru/baza-znanij/rukovodstva/kak-ubeditsya-chto-sluzhba-ldap-na-windows-server-ne-mozhet-byt-ispolzovana-dlya-atak/

 

Сервер за роутером?

Возможно надо искать заражение внутри сети.

Изменено пользователем andrew75
Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, andrew75 сказал:

Почитайте ссылку, может натолкнет на какие-то идеи:

https://www.atlex.ru/baza-znanij/rukovodstva/kak-ubeditsya-chto-sluzhba-ldap-na-windows-server-ne-mozhet-byt-ispolzovana-dlya-atak/

 

Сервер за роутером?

Возможно надо искать заражение внутри сети.

всё таки есть предположение что это какая то гадость залезла да?

Правда Ваши коллеги по вирусам сказали что не смогут помочь и к Вам отправили)

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Andrey_06_kz сказал:

сказали что не смогут помочь

Уточню: по предоставленным логам с конкретного компьютера ничего вредоносного обнаружено не было.

Ссылка на сообщение
Поделиться на другие сайты

Чтоб понять причину, надо знать куда направляется трафик. Вам написали инструменты procmon, wireshark. Пробуйте с помощью них определить, куда отправляется трафик.

 

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Sandor сказал:

Уточню: по предоставленным логам с конкретного компьютера ничего вредоносного обнаружено не было.

Я в этих делах не эксперт, но возможно есть продвинутые вредоносы, которые с вашими антивирусными утилитами так просто не обнаружить, если они уже активны в системе.

Ссылка на сообщение
Поделиться на другие сайты
20 часов назад, Andrey_06_kz сказал:

Говорили что возможно такое бывает из-за обнов

А обновы у вас регулярно ставятся?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Salieri
      От Salieri
      Здравствуйте, упала производительность, начал сильно греться, подозрения на вирус, логи ниже.CollectionLog-2024.01.21-21.42.zip
    • AutoMaging
      От AutoMaging
      Я не знаю что происходит но теперь на пк есть: Trojan:Win32/Khalesi.RL!MTB
      который делает вот такие вещи:
      file: C:\ProgramData\{F4D3C3EF-1BD2-F6B6-D710-5F7E67C15AE8}\596c1370.exe regkey: HKCU@S-1-5-21-2159654326-3945755807-2332048930-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\{68C3EBDF-33E2-6AA6-D710-5F7E67C15AE8} runkey: HKCU@S-1-5-21-2159654326-3945755807-2332048930-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\{68C3EBDF-33E2-6AA6-D710-5F7E67C15AE8} 
      Подскажите что происходит

      P.S + ещё вирусняки которые я не знаю

    • Ksaltotyn
      От Ksaltotyn
      Проблема в следующем. Kaspersky Anti-virus сообщает, что им был остановлен переход на недоверенный сайт. Без проблем заходит на гугол, ютуб и другие крупные сайты. На форум и сайт касперского пускает без проблем, но уже на safezone.cc ссылка постоянно блочится. С остальными сайтами иногда пускает, иногда нет. Иногда позволяет сделать выбор и разрешает "несмотря на опасность перехода по опасной ссылке" пройти на сайт, однако вместо нужного адреса перенаправляет на другой ( там размещен опросник, после которого предлагают что-то купить, дальше я не заходил). При отключении антивируса, переход на сайты продолжают блочить уже под видом внутреннего защитника винды. Аналогичная проблема на трех компьютерах, подключенных к одному модему. 
      Проверял самим антивирусом, его ответ - проблем нет. Сканировал AVZ, AVbr, KVRT, Adwcleaner, FRST. Результат один и тот же, ничего не найдено. FRST выкладки смотрел, возможно чего-то не увидел или не понял. Autologger скачать не дает.
      Браузер хром и ейдж. К хрому ставил расширения WebDefender: Antivirus & Privacy Protection и Kaspersky Protection (включены оба, по одному, отключены). На ситуацию влияют слабо, иногда позволяют перейти на искомый сайт. Отчет и скрины приложил.
      Какой будет диагноз?


      Addition.txt FRST.txt отчет каспера.txt
    • Fine
      От Fine
      Приложение Genshin Impact_launcher_pcseaepic_1_3 отображается в автозагрузке Kaspersky, но не отображается в автозагрузке Windows. 

×
×
  • Создать...