IPB

Здравствуйте, гость ( Вход | Регистрация )

3 страниц V   1 2 3 >  
ОтветитьСоздать новую тему
> Обнаружен вирус
Neburion
сообщение 20.10.2007, 14:21
Сообщение #1





Группа: Teremki@LAN
Сообщений: 387
Регистрация: 5.5.2005
Пользователь №: 342



Похоже в сети гуляет некто: Win32/Sality.NAM
Распространители - владельцы крякнутого файла FIFA2008.exe
Заражает экзешники. Всего 1 запуск фифы - и куча экзефайлов на вашем компе в попе)

Сообщение отредактировал Neburion - 20.10.2007, 14:22
Вернуться к началу страницы
 
+Цитировать сообщение
a.hizhniy
сообщение 23.1.2009, 18:42
Сообщение #2





Группа: Teremki@LAN
Сообщений: 85
Регистрация: 6.10.2008
Из: Теремки2
Пользователь №: 20972



23.01.2009 18:25:42 D:\PUB\-= The Porn Collection =-\Extreme Ty #9 On The Prowl\VIDEO - Extreme Ty #9 On The Prowl.exe Win32/AutoRun.Agent.GR червь
23.01.2009 18:25:22 D:\PUB\-= The Porn Collection =-\Casey Parker's School's Out\VIDEO - Casey Parker's School's Out.exe Win32/AutoRun.Agent.GR червь
23.01.2009 18:25:04 D:\PUB\-= The Porn Collection =-\Blonde-stravaganza\VIDEO - Blonde-stravaganza.exe Win32/AutoRun.Agent.GR червь


Кто- то наградил. D:\PUB\ моя расшара, никакой порно коллекции там не лежало.
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 23.1.2009, 18:52
Сообщение #3





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



(IMG:style_emoticons/default/icon_arrow.gif) a.hizhniy

Какой антивирь?


Сообщение отредактировал Divine - 23.1.2009, 18:53
Вернуться к началу страницы
 
+Цитировать сообщение
a.hizhniy
сообщение 23.1.2009, 19:44
Сообщение #4





Группа: Teremki@LAN
Сообщений: 85
Регистрация: 6.10.2008
Из: Теремки2
Пользователь №: 20972



ESS Nod32 3.0.667.0
Вернуться к началу страницы
 
+Цитировать сообщение
Cooler
сообщение 23.1.2009, 21:59
Сообщение #5





Группа: Teremki@LAN
Сообщений: 715
Регистрация: 20.11.2005
Пользователь №: 569



Просмотр логов фтп-сервера никто не отменял ;)
Смотри кто лез и все)
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 25.2.2009, 22:17
Сообщение #6





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



10.18.30.42 постоянно рассылает вирусы-черви! Будьте бдительны!
Вернуться к началу страницы
 
+Цитировать сообщение
Йожык
сообщение 25.2.2009, 22:24
Сообщение #7


Ветеран налета на Перл Харбор


Группа: Teremki@LAN
Сообщений: 2219
Регистрация: 27.5.2005
Из: ПГТ Теремки-2
Пользователь №: 381



Это сетевой террорист? А где же сетевой антитеррор? (IMG:style_emoticons/default/icon_lol.gif)
Вернуться к началу страницы
 
+Цитировать сообщение
brat!
сообщение 26.2.2009, 9:05
Сообщение #8





Группа: Teremki@LAN
Сообщений: 663
Регистрация: 18.5.2007
Из: Мать городов русских
Пользователь №: 2799



Blocked incoming UDP packet from 10.18.34.13:57764 Thu Feb 26 08:50:07 2009
Blocked incoming UDP packet from 10.18.34.75:1900
Blocked incoming UDP packet from 10.21.14.29:1900
Blocked incoming UDP packet from 10.18.26.85:1900
Blocked incoming UDP packet from 10.20.26.81:1900
Blocked incoming UDP packet from 10.18.34.13:57764 Thu Feb 26 08:30:06 2009

Ну и так далее с дискретностью примерно 20 минут
Пока мой вратарь справляется с этой великолепной пятёркой

Да-поможет нам роутер :-)))
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 1.3.2009, 12:57
Сообщение #9





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



он меня достал....


Прикрепленные файлы
Прикрепленный файл  quarantine.jpg ( 300,18 килобайт ) Кол-во скачиваний: 69
 
Вернуться к началу страницы
 
+Цитировать сообщение
Classick
сообщение 1.3.2009, 14:49
Сообщение #10





Группа: Teremki@LAN
Сообщений: 667
Регистрация: 14.12.2006
Из: Киев, Теремки-I
Пользователь №: 1477



Закрой ему доступ фаерволом и не парся.
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 1.3.2009, 23:48
Сообщение #11





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



мне фаерволл приходится и отключать.. для того чтоб поиграть в варик спокойно...
Вернуться к началу страницы
 
+Цитировать сообщение
Neburion
сообщение 12.3.2009, 12:33
Сообщение #12





Группа: Teremki@LAN
Сообщений: 387
Регистрация: 5.5.2005
Пользователь №: 342



В сети появился вирус Conficker.X(NOD определяет так)
CODE
Видел две модификации, хотя некоторые говорят что их три.
Распространяется тремя путями:
1) Через USB-носители. Копирует в корень autorun.inf, и само тело в F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. !Оба файла скрытые!
2) Через расшаренные ресурсы. Копирует себя в расшаренные папки с помощью перебора пароля администратора. Имя файла задается произвольно. А после этого добавляет задачу в планировщик задач запустить код вируса, как-то вот так "rundll32.exe yruhz.jeo,goberhx".
3) Через старую дыру, которую Microsoft пытается закрыть уже несколько лет! С улыбкой MS08-067 http://www.microsoft.com/technet/secu...8-067.mspx

Наш "зверек" прописыватся в системе где-то здесь:
%Program Files%\Movie Maker\<random filename>.dll
%Program Files%\Internet Explorer\<random filename>.dll
%System%\<random filename>.dll
%Documents and Settings%\<username>\Application Data\<random filename>.dll
%Temp%\<random filename>.dll
файл легко найти по атрибутам arhs, размер 150-170кБ,
и где-то здесь
HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = "%System%\<random filename>"
причем в реестре прописывется от SYSTEM и так просто xерез regedit запись не увидишь.

А делает он вот что:
1)Останавливает службы:
wscsvc - Security Center
wuauserv - Automatic updates
BITS - Background Intelligent Transfer Service
WinDefend - Windows Defender
ERSvc - Error Reporting Service
WerSvc - Windows Error Reporting Servic
2) Блокирует сайты посвященными безопасности и вирусам/антивирусам, Microsoft и т.д.
3) Пытается получить доступ к каким-то сайтам. Как мне кажется список сайтов к кторым пытается пробиться червь саставляется наугад, никакой логики не видно - случайная комбинация букв в зоне com, biz, net.
4) Удаляет системные точки восстановления.
5) Постаянно конектится к произвольным IP-адресам по 445 порту.
6) Запускает HTTP сервер на произвольном порту (можно проверить через netstat -an). Для того, что бы система взломанная через MS08-067 дыру смогла скачать компоненты кода (в виде файлов с расширение .BMP, .GIF, .PNG, .JPG) и собрать для дальнейших действий.
7) Сразу после запуска проверяет если доступ в Инет, пытаясь достучатьса до www.aol.com, www.cnn.com, www.ebay.com, www.myspace.com

Определить быстрее все по
- файлу %System%\<random filename>.dll, arhs, 150-170kB
- запущенному HTTP и постоянным соединениям на 445 порт(netstat -an)
- АВС Kaspersky - Net-Worm.Win32.Kido.bt, Net-Worm.Win32.Kido.j
NOD - Win32/Conficker.X, Win32/Conficker.AA
DrWeb - Win32.HLLW.Shadow.based

Удалить:
- в ручную файл %System%\<random filename>.dll
- c 15.01.09 бесплатным сканером DrWeb CureIt ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe для верочки и ребут.

А вообще ставьте патчи и никогда не болейте!!! С улыбкой
http://www.microsoft.com/technet/secu...8-067.mspx


Поймал седня у себя. Пытаюсь убить.
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 22.3.2009, 12:10
Сообщение #13





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



поймал у себя Conficker.X

а эта сволочь, 10.18.30.42, мну задолбала однозначно....
Вернуться к началу страницы
 
+Цитировать сообщение
brat!
сообщение 23.3.2009, 17:35
Сообщение #14





Группа: Teremki@LAN
Сообщений: 663
Регистрация: 18.5.2007
Из: Мать городов русских
Пользователь №: 2799



Раньше спички затачивали, чтобы в звонковую кнопку всунуть, теперь есть замечательное изделие, готовое к использованию - зубочистка, но уже не актуально :-))) Я для начала позвонил-бы этой сво...еобразной личности домой(на домофон тоже можно :-))) ), хотя тебе проще с четвёртого подъезда да во второй наведаться.
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 23.3.2009, 18:52
Сообщение #15





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



мало того, я даже знаю кто это =)))))

Но я никак не могу с ним пересечься =(
Вернуться к началу страницы
 
+Цитировать сообщение
brat!
сообщение 23.3.2009, 21:15
Сообщение #16





Группа: Teremki@LAN
Сообщений: 663
Регистрация: 18.5.2007
Из: Мать городов русских
Пользователь №: 2799



Моя теория говорит о том, что у тебя есть более ценный контакт, имеющий т ождественную дату рождения :-))
Навскидку типа 22 марта
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 23.3.2009, 22:23
Сообщение #17





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



ок, тогда еще один вопрос (на всякий пожарный)

как в ESET Smart Security заблочить чей-либо айпишник?

что-то накопал..

скажите, оно?
Прикрепленные файлы
Прикрепленный файл  удалить_1.jpg ( 394,49 килобайт ) Кол-во скачиваний: 16
Прикрепленный файл  удалить_2.jpg ( 52,79 килобайт ) Кол-во скачиваний: 0
Прикрепленный файл  удалить_3.jpg ( 48,2 килобайт ) Кол-во скачиваний: 1
Прикрепленный файл  удалить_4.jpg ( 374,13 килобайт ) Кол-во скачиваний: 19
Прикрепленный файл  удалить_5.jpg ( 56,25 килобайт ) Кол-во скачиваний: 0
 
Вернуться к началу страницы
 
+Цитировать сообщение
brat!
сообщение 24.3.2009, 14:13
Сообщение #18





Группа: Teremki@LAN
Сообщений: 663
Регистрация: 18.5.2007
Из: Мать городов русских
Пользователь №: 2799



Похоже на то.
Вернуться к началу страницы
 
+Цитировать сообщение
Cooler
сообщение 24.3.2009, 18:01
Сообщение #19





Группа: Teremki@LAN
Сообщений: 715
Регистрация: 20.11.2005
Пользователь №: 569



Я бы на месте администрации ввел штрафные санкции за отсутствие контроля над своей системой (это про вирусню на компе).
Раза три заплатит гривен по 100, и поймет что надо каждый день обновлять антивирусы и проверять диски...
Вернуться к началу страницы
 
+Цитировать сообщение
brat!
сообщение 25.3.2009, 17:54
Сообщение #20





Группа: Teremki@LAN
Сообщений: 663
Регистрация: 18.5.2007
Из: Мать городов русских
Пользователь №: 2799



Оно-то конечно не мешало-бы....Но с другой стороны...
Представь себе, идёт чел к стоматологу, а доктор ему и говорит: "Батенька, да у вас здесь периодонтит, киста понимаешь...А впаяю-ка я вам штраф за несвоевременное проведение профилактики!" :-)))))
То-ли дело было раньше, раз в 6 месяцев медосмотр, как сейчас для работников пищевой, медицинской и образовательной отраслей, заботилась страна о своих рабах :-))))

По-моему проще написать программу, анализатор логов, которая вычисляет нерадивых юзверей и дропает весь их трафик.
А вот уже за включение трафика плату взымать....:-)))
Вернуться к началу страницы
 
+Цитировать сообщение

3 страниц V   1 2 3 >
ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 28.3.2024, 11:40