У меня в сетке, у одного человека появился паразит Знаю точно, что вирь сидит в svchost и ломится на сайт perfora.net по 80 порту, если закрыть ему source порт он берет другой lookup-ишь адрес perfora.net делаешь
Цитата
iptables -A DORWARD -d (ip не помню щас его) -j DROP iptables -A DORWARD -s (ip не помню щас его) -j DROP
этот паразит начинает ломиться на другой адрес который резолвится опять как perfora.net со своей стороны понимаю точно, что это тупой ддос, но так как у меня в сетке, народ за траф не платит, то эта штука просто забивает мне канал. и обрезать не получается Теперь вторая сторона медали, попробовал NOD32 с последними базами, AVAST тоже с последним обновлением, ничего эту гадость не видит. Перекопал сайт касперского семантика, и гуглу, на предмет чего-то подобного везде тишина. Наконец пришел к абоненту, и заставил его винду заменить этот файлик, из собственного dllcache помогло буквально на час, пока абонент, опять его каким-то макаром не подхватил. Думаю что переустановка ос, поможет не на долго, если абонент опять его схватит, то история повториться. Вообщем если кто-то встречал что-то подобное помогите.
А где он сам находится (исполняемый файл)? Качни ProcessXP и глянь. Если в c:windows, убивай сходу. Правда, avast уж точно ругнулся бы, это бласт. Если в c:windowssystem32, значит, он подгрузился как dll/сервис. Смотри в Autoruns, например, список сервисов, убери левые. В ProcessXP смотри список dll, но тут уже опыт нужен, чтоб отличить левые.
А лучше всего - качни avz (антивирус Зайцева), просканируй им систему - всякую гадость чистит весьма неплохо.
Пэтро FireWall нужен, и обязательно... Если найти, какой процесс куда ломится, то его можно элементарно (в том же OutPost'e) отлучить от интернета, а после-ампутировать!!!
____________________
Время разбрасывать камни Время и убирать пришибленных!
Это обычная уязвимость в системе...если машина постоянно заражается(даже заведомо "чистая"),значит просто установите свежий сервис-пак(а о том какой стоит на машине "пострадавшего" так и не сказали...)Таким раком у нас в сети вылечили кучу червей(а это 100% червяк). У нас тоже были "эпидемии"...просто идете на сайт Microsoft и читаете про данную уязвимость.Там же находится и лекарство. ЗЫ:А фаер и антивирь должны по умолчанию находится на машине.Если их нет,тогда звыняйте...сами виноваты...
У меня был другой опыт, была проблема с svchost, при NOD32 любая атака приводила к ошибке и перезагрузке. Каспер же просто выводил сообщение об отраженой атаке.
Это просто единичный личный опыт и глобальные выводы по этому поводу, конечно, не стоит делать.
2 SP(а можно и неофициальный 3...у меня стоит...хуже не стало) и "просветительская" работа(со стороны администрации) по использованию антивируса в сети. Мы ВСЕГДА ставим клиенту антивирь(на выбор:Каспер или НОД),а в сети существуют локальные сервера обновлений для каждого..."выбирай сам" называется Таким образом клиент не тратит личный траффик на постоянное обновление антивирусных баз(а тот же Каспер "просит кушать" каждые 2 дня...). Согласитесь,неплохая услуга... Это не реклама услуг нашей сети,а просто здравый смысл...потому как "эпидемия" намного хуже...
хм. видать за 4 месяца произошло многое... я никогда не ставил. Мне кажется проблема клиента это только его проблема. Как обеспечить технически его изолированность- задачи ISP вообще мне очень советовали фаирвол ipfw для винды, никто не использовал?
Законодательная сторона дела такова: Клиенту ставится антивирь с официальным триальным ключом... Дальнейшая судьба клиента,в его руках...а в локалке или в Интернете он найдет себе кряк(или помогут друзья).Так что с этой стороны Сеть чиста перед законом. Поддержкой локальных ресурсов занимаются сами клиенты... И не надо мне рассказывать,что в других сетях все обстоит по другому(типа,все в белом и на единорогах... ).Это позволяет сразу "просеивать" машины насчет вирусов(в большинстве случаев),хотя "вирусных" вызовов хватает... Иногда люди удивительно безалаберны... Чел полгода писал какую-то работу...и все в один прекрасный день потерял ...а все потому что у него ВООБЩЕ НЕ БЫЛО антивируса...он им недоверял и поэтому удалил...
Kodein Спасиба попробую, еще раз нодом, может вылечит, как-то шейпанул клиента, и неделю меня этот вопрос не очень волновал, дел было других, по поводу остальных советов: 1) winxp sp2 так что я бумаю бласты и лсасы от падаютъ 2) лишних процессов нет, левых служб тож 3) живет зверь в %WINDIR%\system32\svchost.*** не помню расширение
Кстати в продолжнение темы, какой посоветуете выбрать антивирь, чтобы мона было найти для него сервак обновлений. который будет их качать с офа и раздавать в сетку