Обнаружен вирус |
Здравствуйте, гость ( Вход | Регистрация )
Обнаружен вирус |
20.10.2007, 14:21
Сообщение
#1
|
|
Группа: Teremki@LAN Сообщений: 387 Регистрация: 5.5.2005 Пользователь №: 342 |
Похоже в сети гуляет некто: Win32/Sality.NAM
Распространители - владельцы крякнутого файла FIFA2008.exe Заражает экзешники. Всего 1 запуск фифы - и куча экзефайлов на вашем компе в попе) Сообщение отредактировал Neburion - 20.10.2007, 14:22 |
|
|
23.1.2009, 18:42
Сообщение
#2
|
|
Группа: Teremki@LAN Сообщений: 85 Регистрация: 6.10.2008 Из: Теремки2 Пользователь №: 20972 |
23.01.2009 18:25:42 D:\PUB\-= The Porn Collection =-\Extreme Ty #9 On The Prowl\VIDEO - Extreme Ty #9 On The Prowl.exe Win32/AutoRun.Agent.GR червь
23.01.2009 18:25:22 D:\PUB\-= The Porn Collection =-\Casey Parker's School's Out\VIDEO - Casey Parker's School's Out.exe Win32/AutoRun.Agent.GR червь 23.01.2009 18:25:04 D:\PUB\-= The Porn Collection =-\Blonde-stravaganza\VIDEO - Blonde-stravaganza.exe Win32/AutoRun.Agent.GR червь Кто- то наградил. D:\PUB\ моя расшара, никакой порно коллекции там не лежало. |
|
|
23.1.2009, 18:52
Сообщение
#3
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
(IMG:style_emoticons/default/icon_arrow.gif) a.hizhniy
Какой антивирь? Сообщение отредактировал Divine - 23.1.2009, 18:53 |
|
|
23.1.2009, 19:44
Сообщение
#4
|
|
Группа: Teremki@LAN Сообщений: 85 Регистрация: 6.10.2008 Из: Теремки2 Пользователь №: 20972 |
ESS Nod32 3.0.667.0
|
|
|
23.1.2009, 21:59
Сообщение
#5
|
|
Группа: Teremki@LAN Сообщений: 715 Регистрация: 20.11.2005 Пользователь №: 569 |
Просмотр логов фтп-сервера никто не отменял ;)
Смотри кто лез и все) |
|
|
25.2.2009, 22:17
Сообщение
#6
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
10.18.30.42 постоянно рассылает вирусы-черви! Будьте бдительны!
|
|
|
25.2.2009, 22:24
Сообщение
#7
|
|
Ветеран налета на Перл Харбор Группа: Teremki@LAN Сообщений: 2219 Регистрация: 27.5.2005 Из: ПГТ Теремки-2 Пользователь №: 381 |
Это сетевой террорист? А где же сетевой антитеррор? (IMG:style_emoticons/default/icon_lol.gif)
|
|
|
26.2.2009, 9:05
Сообщение
#8
|
|
Группа: Teremki@LAN Сообщений: 663 Регистрация: 18.5.2007 Из: Мать городов русских Пользователь №: 2799 |
Blocked incoming UDP packet from 10.18.34.13:57764 Thu Feb 26 08:50:07 2009
Blocked incoming UDP packet from 10.18.34.75:1900 Blocked incoming UDP packet from 10.21.14.29:1900 Blocked incoming UDP packet from 10.18.26.85:1900 Blocked incoming UDP packet from 10.20.26.81:1900 Blocked incoming UDP packet from 10.18.34.13:57764 Thu Feb 26 08:30:06 2009 Ну и так далее с дискретностью примерно 20 минут Пока мой вратарь справляется с этой великолепной пятёркой Да-поможет нам роутер :-))) |
|
|
1.3.2009, 12:57
Сообщение
#9
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
|
|
|
1.3.2009, 14:49
Сообщение
#10
|
|
Группа: Teremki@LAN Сообщений: 667 Регистрация: 14.12.2006 Из: Киев, Теремки-I Пользователь №: 1477 |
Закрой ему доступ фаерволом и не парся.
|
|
|
1.3.2009, 23:48
Сообщение
#11
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
мне фаерволл приходится и отключать.. для того чтоб поиграть в варик спокойно...
|
|
|
12.3.2009, 12:33
Сообщение
#12
|
|
Группа: Teremki@LAN Сообщений: 387 Регистрация: 5.5.2005 Пользователь №: 342 |
В сети появился вирус Conficker.X(NOD определяет так)
CODE Видел две модификации, хотя некоторые говорят что их три. Распространяется тремя путями: 1) Через USB-носители. Копирует в корень autorun.inf, и само тело в F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. !Оба файла скрытые! 2) Через расшаренные ресурсы. Копирует себя в расшаренные папки с помощью перебора пароля администратора. Имя файла задается произвольно. А после этого добавляет задачу в планировщик задач запустить код вируса, как-то вот так "rundll32.exe yruhz.jeo,goberhx". 3) Через старую дыру, которую Microsoft пытается закрыть уже несколько лет! С улыбкой MS08-067 http://www.microsoft.com/technet/secu...8-067.mspx Наш "зверек" прописыватся в системе где-то здесь: %Program Files%\Movie Maker\<random filename>.dll %Program Files%\Internet Explorer\<random filename>.dll %System%\<random filename>.dll %Documents and Settings%\<username>\Application Data\<random filename>.dll %Temp%\<random filename>.dll файл легко найти по атрибутам arhs, размер 150-170кБ, и где-то здесь HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = "%System%\<random filename>" причем в реестре прописывется от SYSTEM и так просто xерез regedit запись не увидишь. А делает он вот что: 1)Останавливает службы: wscsvc - Security Center wuauserv - Automatic updates BITS - Background Intelligent Transfer Service WinDefend - Windows Defender ERSvc - Error Reporting Service WerSvc - Windows Error Reporting Servic 2) Блокирует сайты посвященными безопасности и вирусам/антивирусам, Microsoft и т.д. 3) Пытается получить доступ к каким-то сайтам. Как мне кажется список сайтов к кторым пытается пробиться червь саставляется наугад, никакой логики не видно - случайная комбинация букв в зоне com, biz, net. 4) Удаляет системные точки восстановления. 5) Постаянно конектится к произвольным IP-адресам по 445 порту. 6) Запускает HTTP сервер на произвольном порту (можно проверить через netstat -an). Для того, что бы система взломанная через MS08-067 дыру смогла скачать компоненты кода (в виде файлов с расширение .BMP, .GIF, .PNG, .JPG) и собрать для дальнейших действий. 7) Сразу после запуска проверяет если доступ в Инет, пытаясь достучатьса до www.aol.com, www.cnn.com, www.ebay.com, www.myspace.com Определить быстрее все по - файлу %System%\<random filename>.dll, arhs, 150-170kB - запущенному HTTP и постоянным соединениям на 445 порт(netstat -an) - АВС Kaspersky - Net-Worm.Win32.Kido.bt, Net-Worm.Win32.Kido.j NOD - Win32/Conficker.X, Win32/Conficker.AA DrWeb - Win32.HLLW.Shadow.based Удалить: - в ручную файл %System%\<random filename>.dll - c 15.01.09 бесплатным сканером DrWeb CureIt ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe для верочки и ребут. А вообще ставьте патчи и никогда не болейте!!! С улыбкой http://www.microsoft.com/technet/secu...8-067.mspx Поймал седня у себя. Пытаюсь убить. |
|
|
22.3.2009, 12:10
Сообщение
#13
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
поймал у себя Conficker.X
а эта сволочь, 10.18.30.42, мну задолбала однозначно.... |
|
|
23.3.2009, 17:35
Сообщение
#14
|
|
Группа: Teremki@LAN Сообщений: 663 Регистрация: 18.5.2007 Из: Мать городов русских Пользователь №: 2799 |
Раньше спички затачивали, чтобы в звонковую кнопку всунуть, теперь есть замечательное изделие, готовое к использованию - зубочистка, но уже не актуально :-))) Я для начала позвонил-бы этой сво...еобразной личности домой(на домофон тоже можно :-))) ), хотя тебе проще с четвёртого подъезда да во второй наведаться.
|
|
|
23.3.2009, 18:52
Сообщение
#15
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
мало того, я даже знаю кто это =)))))
Но я никак не могу с ним пересечься =( |
|
|
23.3.2009, 21:15
Сообщение
#16
|
|
Группа: Teremki@LAN Сообщений: 663 Регистрация: 18.5.2007 Из: Мать городов русских Пользователь №: 2799 |
Моя теория говорит о том, что у тебя есть более ценный контакт, имеющий т ождественную дату рождения :-))
Навскидку типа 22 марта |
|
|
23.3.2009, 22:23
Сообщение
#17
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
ок, тогда еще один вопрос (на всякий пожарный)
как в ESET Smart Security заблочить чей-либо айпишник? что-то накопал.. скажите, оно?
Прикрепленные файлы
удалить_1.jpg ( 394,49 килобайт )
Кол-во скачиваний: 16
удалить_2.jpg ( 52,79 килобайт ) Кол-во скачиваний: 0 удалить_3.jpg ( 48,2 килобайт ) Кол-во скачиваний: 1 удалить_4.jpg ( 374,13 килобайт ) Кол-во скачиваний: 19 удалить_5.jpg ( 56,25 килобайт ) Кол-во скачиваний: 0 |
|
|
24.3.2009, 14:13
Сообщение
#18
|
|
Группа: Teremki@LAN Сообщений: 663 Регистрация: 18.5.2007 Из: Мать городов русских Пользователь №: 2799 |
Похоже на то.
|
|
|
24.3.2009, 18:01
Сообщение
#19
|
|
Группа: Teremki@LAN Сообщений: 715 Регистрация: 20.11.2005 Пользователь №: 569 |
Я бы на месте администрации ввел штрафные санкции за отсутствие контроля над своей системой (это про вирусню на компе).
Раза три заплатит гривен по 100, и поймет что надо каждый день обновлять антивирусы и проверять диски... |
|
|
25.3.2009, 17:54
Сообщение
#20
|
|
Группа: Teremki@LAN Сообщений: 663 Регистрация: 18.5.2007 Из: Мать городов русских Пользователь №: 2799 |
Оно-то конечно не мешало-бы....Но с другой стороны...
Представь себе, идёт чел к стоматологу, а доктор ему и говорит: "Батенька, да у вас здесь периодонтит, киста понимаешь...А впаяю-ка я вам штраф за несвоевременное проведение профилактики!" :-))))) То-ли дело было раньше, раз в 6 месяцев медосмотр, как сейчас для работников пищевой, медицинской и образовательной отраслей, заботилась страна о своих рабах :-)))) По-моему проще написать программу, анализатор логов, которая вычисляет нерадивых юзверей и дропает весь их трафик. А вот уже за включение трафика плату взымать....:-))) |
|
|
Текстовая версия | Сейчас: 28.3.2024, 18:40 |