Вирус в клиенте ендер

Информация об обновлениях/изменениях, патчах и новостях игры Salem

Вирус в клиенте ендер

Сообщение Kerr13 » 03 июн 2019, 11:46

сегодня 03.06.2019 ломанули ендер. Видимо он докачивает измененную часть.

После загрузки клиент начинает ломится на удаленный хост, а на ПК начинает сходить с ума файервол. Еще вчера этого небыло. С латикаем пока все хорошо. На всякий случай решил предупредить.
Kerr13
 
Сообщения: 207
Зарегистрирован: 11 май 2015, 17:01

Re: Вирус в клиенте ендер

Сообщение LOMS » 03 июн 2019, 12:08

вот репозиторий клиента: https://github.com/EnderWiggin/Custom-Salem
За 4 года ни единой правки.
Вот репозиторий апдейтера: https://github.com/EnderWiggin/salem-updater
за 5 лет ни единой правки.

Есть мнение, что ломанули тебя.
Аватара пользователя
LOMS
 
Сообщения: 1460
Зарегистрирован: 16 мар 2012, 05:07

Re: Вирус в клиенте ендер

Сообщение Kerr13 » 03 июн 2019, 12:16

Да, Тапион тоже это предположил, но тогда остается непонятно почему подобное наблюдалось на 2х разных ПК? Причем на втором где клиент был установлен хрен знает когда. И с первого ПК я сидел еще вчера и все было ок.

Я реально не понимаю где мне искать проблему.
Kerr13
 
Сообщения: 207
Зарегистрирован: 11 май 2015, 17:01

Re: Вирус в клиенте ендер

Сообщение LOMS » 03 июн 2019, 12:22

Kerr13 писал(а):Да, Тапион тоже это предположил, но тогда остается непонятно почему подобное наблюдалось на 2х разных ПК? Причем на втором где клиент был установлен хрен знает когда. И с первого ПК я сидел еще вчера и все было ок.

Я реально не понимаю где мне искать проблему.

Поищи проблему где-нибудь ещё. В конце концов ты владеешь двумя разными ПК.
А больше всего мне нравится формулировка "начал ломится на удалённый хост", без указания хоста. У тебя всё ломится на удалённый хост, даже клиент салема.
Аватара пользователя
LOMS
 
Сообщения: 1460
Зарегистрирован: 16 мар 2012, 05:07

Re: Вирус в клиенте ендер

Сообщение Kerr13 » 03 июн 2019, 12:30

LOMS писал(а):
Kerr13 писал(а):Да, Тапион тоже это предположил, но тогда остается непонятно почему подобное наблюдалось на 2х разных ПК? Причем на втором где клиент был установлен хрен знает когда. И с первого ПК я сидел еще вчера и все было ок.

Я реально не понимаю где мне искать проблему.

Поищи проблему где-нибудь ещё. В конце концов ты владеешь двумя разными ПК.
А больше всего мне нравится формулировка "начал ломится на удалённый хост", без указания хоста. У тебя всё ломится на удалённый хост, даже клиент салема.


уже ищу, причем аврально, мне это дело очень не нравится. Я прочитал логи в ява машин - там все чисто.
проверил таски - все чисто
проверил реестр - все чисто

на счет формулировки я просто писал этот пост в попыхах, ломился он вот сюда http://survey-smiles.com/, причем все начиналось только после залогинивания в ендере, тоесть загрузил - все ок, залогинился и понеслась - файервол начинате выдавать таблички что блочит удаленный адрес.
На счет адреса салема - так он у меня ручками прописан с тех времен когда помнишь днс у них забыли проплатить и ходили по ип.
Kerr13
 
Сообщения: 207
Зарегистрирован: 11 май 2015, 17:01

Re: Вирус в клиенте ендер

Сообщение Nikitron » 03 июн 2019, 18:08

@Kerr13 - запусти Process Monitor и глянь кто именно ломится на этот хотс - https://docs.microsoft.com/en-us/sysint ... ds/procmon

И да, ты первый человек который смог проверить реестр...
Nikitron
 
Сообщения: 6
Зарегистрирован: 30 июл 2012, 11:46

Re: Вирус в клиенте ендер

Сообщение Kerr13 » 03 июн 2019, 19:28

вот кусок, когда запущен ендер и каспер начинает сходить с ума (ip 5.79.68.107 вражеский)

22:12:17,6493083 java.exe 5384 UDP Receive Thomas-0007:50080 -> http://www.salemthegame.com:1870 SUCCESS Length: 27, seqnum: 0, connid: 0
22:12:17,7134364 avp.exe 1248 TCP Connect Thomas-0007:50926 -> 5.79.68.107:http SUCCESS Length: 0, mss: 1460, sackopt: 0, tsopt: 0, wsopt: 0, rcvwin: 64240, rcvwinscale: 0, sndwinscale: 0, seqnum: 0, connid: 0
22:12:17,7139100 java.exe 5384 TCP Connect validation.sls.microsoft.com:50925 -> validation.sls.microsoft.com:nfsd-status SUCCESS Length: 0, mss: 1460, sackopt: 1, tsopt: 0, wsopt: 1, rcvwin: 8192, rcvwinscale: 8, sndwinscale: 8, seqnum: 0, connid: 0
22:12:17,7140643 avp.exe 1248 TCP Accept validation.sls.microsoft.com:nfsd-status -> validation.sls.microsoft.com:50925 SUCCESS Length: 0, mss: 1460, sackopt: 1, tsopt: 0, wsopt: 1, rcvwin: 8192, rcvwinscale: 8, sndwinscale: 8, seqnum: 0, connid: 0
22:12:17,7140782 avp.exe 1248 TCP Receive validation.sls.microsoft.com:nfsd-status -> validation.sls.microsoft.com:50925 SUCCESS Length: 500, seqnum: 0, connid: 0
22:12:17,7140997 java.exe 5384 TCP Send 7f00:1::d8b0:ae07:80fa:ffff:50925 -> validation.sls.microsoft.com:nfsd-status SUCCESS Length: 500, startime: 118459, endtime: 118459, seqnum: 0, connid: 0

если закрыть клиент в сетевой активности этого ип нету
дайте совет, где копать, не понимаю

просто запустить клиент без логина не вызывает появление этого ип в трафике, только вход и когда все прогрузилось в клиенте генерит в трафике запросы на 5.79.68.107если вылогинится, запросы сразу прекращаются

UPD: устал :( ничего не понимаю
удалял все темпы, темпы явы, удалял папки салема, после перекачивания ендера каспер ловит этот адрес
взял на работе пустую машину без каспера, поставил ендер, загрузился, процесс эксплорером поискал ип в трафике - нету.
если запускать латикай - все ок
если поставить каспер, то он начинает вылавливать этот трафик после того, как прогрузился в игру через ендер...
есть предположение, что обращение идет разово или очень короткое время, отрабатывает и дальше его нет, поэтому процесс эксплорер и не показывает его, а когда каспер перехватывает неотработавший запрос начинает повторяться и его видно...но на дальше сообразить что делать меня не хватает.
Kerr13
 
Сообщения: 207
Зарегистрирован: 11 май 2015, 17:01


Вернуться в Новости

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1