Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 

Реклама на форуме

 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Вирус, Помогите не знаю как справиться
Pretender | Профиль
Дата 17 Января, 2007, 15:06
Quote Post




Group Icon

Группа: Старожил
Сообщений: 2548
Регистрация: 11.10.06
Авторитет: 47
Вне форума

Предупреждения:
(0%) -----


У меня в сетке, у одного человека появился паразит
Знаю точно, что вирь сидит в svchost и ломится на сайт perfora.net по 80 порту, если закрыть ему source порт он берет другой lookup-ишь адрес perfora.net
делаешь
Цитата

iptables -A DORWARD -d (ip не помню щас его) -j DROP
iptables -A DORWARD -s (ip не помню щас его) -j DROP

этот паразит начинает ломиться на другой адрес который резолвится опять как perfora.net со своей стороны понимаю точно, что это тупой ддос, но так как у меня в сетке, народ за траф не платит, то эта штука просто забивает мне канал. и обрезать не получается
Теперь вторая сторона медали, попробовал NOD32 с последними базами, AVAST тоже с последним обновлением, ничего эту гадость не видит.
Перекопал сайт касперского семантика, и гуглу, на предмет чего-то подобного везде тишина.
Наконец пришел к абоненту, и заставил его винду заменить этот файлик, из собственного dllcache помогло буквально на час, пока абонент, опять его каким-то макаром не подхватил.
Думаю что переустановка ос, поможет не на долго, если абонент опять его схватит, то история повториться.
Вообщем если кто-то встречал что-то подобное помогите.

Отредактировал Pretender - 17 Января, 2007, 15:07


____________________
Are you a doсtor???
I'am today......
+79787927860
PMEmail PosterUsers Website
1/7443   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon
















_________________
Желающим разместить рекламу смотреть сюдой
/   
drood |
Дата 18 Января, 2007, 0:50
Quote Post



Unregistered









Цитата(Pretender @ 17.01.2007, 13:06:10, 117454)
Знаю точно, что вирь сидит в svchost

А где он сам находится (исполняемый файл)? Качни ProcessXP и глянь. Если в c:windows, убивай сходу. Правда, avast уж точно ругнулся бы, это бласт. Если в c:windowssystem32, значит, он подгрузился как dll/сервис. Смотри в Autoruns, например, список сервисов, убери левые. В ProcessXP смотри список dll, но тут уже опыт нужен, чтоб отличить левые.

А лучше всего - качни avz (антивирус Зайцева), просканируй им систему - всякую гадость чистит весьма неплохо.
1/   
<KiR> | Профиль
Дата 18 Января, 2007, 0:54
Quote Post




Group Icon

Группа: Старожил
Сообщений: 5774
Регистрация: 23.07.04
Авторитет: 14
Вне форума

Предупреждения:
(0%) -----


Цитата(Pretender @ 17 Января, 2007, 14:06)
svchost


сноси виндомс и парься
1/15059   
NetTeh | Профиль
Дата 18 Января, 2007, 2:49
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 05.01.07
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


Не факт,что свежая Винда не выхватит его опять...нужна "затычка"


____________________
user posted image
PMEmail Poster
a0xff |
Дата 18 Января, 2007, 3:03
Quote Post



Unregistered









spybot поможет
естественно со свежими базами
<KiR> | Профиль
Дата 18 Января, 2007, 10:15
Quote Post




Group Icon

Группа: Старожил
Сообщений: 5774
Регистрация: 23.07.04
Авторитет: 14
Вне форума

Предупреждения:
(0%) -----


NetTeh
вначале его надо искоренить, а потом думать как заткнуть...

А заткнуть его можно любым файрволом!

Кстати прогоните машинку Каспером со свежими базами...
Пэтро |
Дата 18 Января, 2007, 11:58
Quote Post



Unregistered









Затыкать надо заплаткой. Однозначна. Файрволл не нужен ИМХО.
WereWolf | Профиль
Дата 18 Января, 2007, 12:37
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


Пэтро
FireWall нужен, и обязательно... Если найти, какой процесс куда ломится, то его можно элементарно (в том же OutPost'e) отлучить от интернета, а после-ампутировать!!!


____________________
Время разбрасывать камни
Время и убирать пришибленных!
PMEmail PosterUsers Website
1/3997   
NetTeh | Профиль
Дата 18 Января, 2007, 12:59
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 05.01.07
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


Это обычная уязвимость в системе...если машина постоянно заражается(даже заведомо "чистая"),значит просто установите свежий сервис-пак(а о том какой стоит на машине "пострадавшего" так и не сказали...)Таким раком у нас в сети вылечили кучу червей(а это 100% червяк).
У нас тоже были "эпидемии"...просто идете на сайт Microsoft и читаете про данную уязвимость.Там же находится и лекарство.
ЗЫ:А фаер и антивирь должны по умолчанию находится на машине.Если их нет,тогда звыняйте...сами виноваты... bye1.gif

Отредактировал NetTeh - 18 Января, 2007, 13:00


____________________
user posted image
PMEmail Poster
Loperamid |
Дата 18 Января, 2007, 20:44
Quote Post



Unregistered









Крэлком - рассадник вирусов?! - думаю, что это именно этот случайт, NOD и AVast не помогают, держит только каспер.
1/   
Rumata | Профиль
Дата 18 Января, 2007, 21:26
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 100
Вне форума



MedicKen
вы уж простите мнение ламера, но каспер это не держит, как и много другое


____________________
Ничто так не сближает людей, как снайперский прицел
Loperamid |
Дата 18 Января, 2007, 21:49
Quote Post



Unregistered









У меня был другой опыт, была проблема с svchost, при NOD32 любая атака приводила к ошибке и перезагрузке. Каспер же просто выводил сообщение об отраженой атаке.

Это просто единичный личный опыт и глобальные выводы по этому поводу, конечно, не стоит делать. acute.gif
1/   
NetTeh | Профиль
Дата 19 Января, 2007, 2:03
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 05.01.07
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


2 SP(а можно и неофициальный 3...у меня стоит...хуже не стало) и "просветительская" работа(со стороны администрации) по использованию антивируса в сети.
Мы ВСЕГДА ставим клиенту антивирь(на выбор:Каспер или НОД),а в сети существуют локальные сервера обновлений для каждого..."выбирай сам" называется smile.gif Таким образом клиент не тратит личный траффик на постоянное обновление антивирусных баз(а тот же Каспер "просит кушать" каждые 2 дня...).
Согласитесь,неплохая услуга...
Это не реклама услуг нашей сети,а просто здравый смысл...потому как "эпидемия" намного хуже... unsure.gif


____________________
user posted image
PMEmail Poster
2/216   
a0xff |
Дата 19 Января, 2007, 2:35
Quote Post



Unregistered









Цитата(NetTeh @ 19 Января, 2007, 0:03)
ВСЕГДА

хм. видать за 4 месяца произошло многое...
я никогда не ставил.
Мне кажется проблема клиента это только его проблема.
Как обеспечить технически его изолированность- задачи ISP
вообще мне очень советовали фаирвол ipfw для винды, никто не использовал?

Цитата(NetTeh @ 19 Января, 2007, 0:03)
Мы ВСЕГДА ставим клиенту антивирь

интересна законодательная сторона этого дела
1/   
Kodein |
Дата 19 Января, 2007, 2:35
Quote Post



Unregistered









Была абсолютна аналогичная проблема svchost - обнаружил и вылечил НОД32.
1/   
NetTeh | Профиль
Дата 19 Января, 2007, 2:55
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 05.01.07
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


Законодательная сторона дела такова:
Клиенту ставится антивирь с официальным триальным ключом... bye1.gif
Дальнейшая судьба клиента,в его руках...а в локалке или в Интернете он найдет себе кряк(или помогут друзья).Так что с этой стороны Сеть чиста перед законом.
Поддержкой локальных ресурсов занимаются сами клиенты...
И не надо мне рассказывать,что в других сетях все обстоит по другому(типа,все в белом и на единорогах... smile.gif ).Это позволяет сразу "просеивать" машины насчет вирусов(в большинстве случаев),хотя "вирусных" вызовов хватает...
Иногда люди удивительно безалаберны... blink.gif
Чел полгода писал какую-то работу...и все в один прекрасный день потерял no.gif ...а все потому что у него ВООБЩЕ НЕ БЫЛО антивируса...он им недоверял blink.gif и поэтому удалил... boxed.gif


____________________
user posted image
PMEmail Poster
2/216   
Pretender | Профиль
Дата 22 Января, 2007, 17:16
Quote Post




Group Icon

Группа: Старожил
Сообщений: 2548
Регистрация: 11.10.06
Авторитет: 47
Вне форума

Предупреждения:
(0%) -----


Kodein Спасиба попробую, еще раз нодом, может вылечит, как-то шейпанул клиента, и неделю меня этот вопрос не очень волновал, дел было других, по поводу остальных советов:
1) winxp sp2 так что я бумаю бласты и лсасы от падаютъ
2) лишних процессов нет, левых служб тож
3) живет зверь в %WINDIR%\system32\svchost.*** не помню расширениеsmile.gif

Кстати в продолжнение темы, какой посоветуете выбрать антивирь, чтобы мона было найти для него сервак обновлений. который будет их качать с офа и раздавать в сеткуsmile.gif


____________________
Are you a doсtor???
I'am today......
+79787927860
PMEmail PosterUsers Website
2/7443   
NetTeh | Профиль
Дата 22 Января, 2007, 19:40
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 05.01.07
Авторитет: 2
Вне форума

Предупреждения:
(0%) -----


Последнюю версию Каспера(у него там и функция такая есть... smile.gif)
Сам в сети держу сервер обновлений


____________________
user posted image
PMEmail Poster
1/216   

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0148 ]   [ 12 queries used ]   [ GZIP включён ]






Политика конфиденциальности

Top