Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

TAJFUNRUS

Сетевые атаки Intrusion.Win.MSSQL.worm.Helkern

Рекомендованные сообщения

народ я правильно настроил или нет посмотрите пожалуйста и скажите мож че нетак

post-459074-1257811996_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ruslan73sssr, а для чего это правило? В нём у вас разрешаются пакеты от l2tp-сервера провайдера к l2tp-серверу. Вы такие пакеты никогда не увидите.

Какую вы цель преследовали, создавая это правило?

Если вы хотели разрешить все соединения с l2tp-сервером, тогда надо было его в таком виде прописать:

Разрешать Исходящие UDP, где:
Удалённый IP-адрес: l2tp.corbina.net
Удалённый порт: 1701
Локальный IP-адрес: любой (т.е. ничего в этой позиции не писать)
Локальный порт: 1024-4999

Или вы что-то другое хотели прописать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос: В отчётах KIS часто наблюдаю записи о блокировании сетевой атаки Intrusion.Win.MSSQL.worm.Helkern. Опасна ли данная атака? Необходимо ли предпринимать какие-либо дополнительные меры?

 

Ответ: Атака сетевого червя Helkern направлена на давно устранённую уязвимость в продукте Microsoft SQL Server, предназначенного для управления базами данных. Если вы впервые слышите об этой программе, то, скорее всего, на вашем компьютере она не установлена. В комплект программ, изначально включенных в состав ОС Windows, продукт Microsoft SQL Server не входит. Поэтому для большинства персональных компьютеров сетевая атака Intrusion.Win.MSSQL.worm.Helkern опасности не представляет. KIS успешно отражает её, никаких дополнительный действий предпринимать не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там есть такая стрелочка в окошке с инфой, которая даст возможность отключить вывод этих глючных сообщений. а вапче читайте почаще справку по тому антивирю которого пользуете . :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

добрый день, люди но у меня совсем другая проблема

поймала Intrusion.Win.MSSQL.worm.Helkern, комп показал синий экран, в низу надпись с aec.sys

после перезагрузки доходит еле еле до скрина рабочего стола, пустого без ярлыков и курсора мышки каторый притормаживает при передвижении, через несколько минут опять синий экран , и всё заново. син экран,перезагрузка,раб стол,

 

пыталась в безопасном режиме *удалить* червяка но всё тщетно, понятия не имею есть ли у меня mmsql

 

можно ли это как исправить ? или всё стерать ? форматировать ? стреляца ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vera26, а с чего вы взяли, что у вас именно этот вредонос?

 

Восстановление системы пробовали делать? (при загрузке на F8, а потом выбор последней работоспособной конфигурации)

 

А откат системы на предыдущие даты пробовали делать? (опять же F8, а потом загрузка в Безопасном режиме и Восстановление системы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
vera26, а с чего вы взяли, что у вас именно этот вредонос?
в каспере в карантин отделе - вкладка - ВСЕ - там написано

 

Восстановление системы пробовали делать? (при загрузке на F8, а потом выбор последней работоспособной конфигурации)
да. как и сказала доходит до раб стола *пустого* а патом син экран

 

А откат системы на предыдущие даты пробовали делать? (опять же F8, а потом загрузка в Безопасном режиме и Восстановление системы)
о подробней об откат системы, но Восстановление системы в сэйф модэ не даёт. говарит перезагрузитесь и попробуйте в *нормальном режиме*

 

чорт, хоть вешайся цепляю тока то что лечится тока форматированием

 

полазила по форумам везде пишут совсем не то что у меня :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vera26, раз в Безопасном режиме комп всё-таки работает, тогда начинайте выполнять все шаги по теме ИНСТРУКЦИЯ - скачайте утилиты (не AVPTool, раз у вас Каспер уже установлен) и проверяйте комп.

Также попробуйте полностью удалить Каспера, раз он уже пропустил вредонос (хотя скорее всего и не этот). В Безопасном режиме это можно сделать, проблем с удалением не должно возникнуть.

Глюки с загрузкой могут быть и из-за Каспера, точнее его борьбы с вредоносом.

 

P.S. И, пожалуйста, постарайтесь писАть без ошибок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vera26, выложи синий экран на форум, может совсем в другом проблема быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.P.S. Заодно посмотрите файл Windows\system32\drivers\aec.sys

Если там есть также файл aec.sys.bak (в свойствах у этого файла будет указано, что это родной файл Microsoft), тогда файл aec.sys переименуйте во что-нибудь и пришлите на почту, указанную в инструкции, а другой файл переименуйте в aec.sys

Если нет полной уверенности в тот, что это именно те файлы, которые нужно использовать/переименовывать, тогда пришлите оба файла на почту в заархивированной виде.

 

Если другого файла нет, тогда просто пришлите aec.sys на почту, но предварительно его заархивируйте.

 

Либо если у вас есть доступ в интернет, тогда отправьте aec.sys на проверку на http://www.virustotal.com/index.html и дайте ссылку на результаты проверки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так , глубоко извеняюсь за ошибки.

так как поломаный комп находится на растоянии километров, следовать всех советов тяжело.

на компе вот с которого пишу вам фаил aec.sys есть но не вижу .bak , на форумах прочитал что это чтот связано со звуком, эхо.

интернет не подключаеца в безопасном режиме, просто игнорируеца ярлык.

расскажите подробно степ бай степ об откат системы на другие даты и можно ли это сделать в сэйф модэ ?

 

попробую снести каспера, кстати он не давал мне сканировать на вири, так как истекла лицензия или сэйф модэ, извеняюсь за свои не знания

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vera26, если поломанный комп находится далеко, то как вы тогда видите файл? Вы телепатка? :lol:

 

Файл aec.sys, если он не подменен вредоносом, - это нормальный файл. Так вот и нужно проверить, файл системы это или нет. Можете посмотреть хотя бы в его свойствах (правой кнопкой мышки на нём) то, относится ли он к файлам Windows или нет: если это нормальный файл или же неполностью запорченный, тогда вы это увидите на вкладке "Версия".

 

Восстановление: Загружаемся в безопасном режиме -> ПУСК -> Программы -> Стандартные -> Служебные -> Восстановление системы -> Ищем предыдущие точки и пытаемся откатить систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
vera26, если поломанный комп находится далеко, то как вы тогда видите файл? Вы телепатка?

 

на поломаном* компе я немогу в интернет зайти, приехала на другую квартиру и вот тут уже ищу ответы. что тут непонятного ? комп коцаный на другой хате.

 

спосибо за советы, вечером папробую всё что посоветовали, в среду 18го отпишусь о результатах, если не появлюсь значит всё наладила :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

добрый день.

всё пофиксила. НО: как советовали не всё помагло

востонавление системы не ЗАПУСКАЕЦА в сэйф модэ.

каспер унинстал тоже не даёт стереть ся в СМ

памог куре ит - др веб. каторого я ненавижу.

др веб за сёк 2 фаила - killfiles, и aec.sys каторый после сноса стал .bak

комп при работе в СМ через какоето время говарит аперативка истощилась и даёт перезагруз, так что Dr web не дошол до конца проверки.

чорт а я была так уверена что это хелкерн

вопщем после удаления 2х файлов всё стал на свои места.спс.за советы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. учить рускога языка!

 

что мне подсказывает, у вас не чисто на компе.

может сделаете отчеты по ИНСТРУКЦИЯ ?

 

зы странное ощущение. страдают пользователи dr.web . но страдают не долго. у вас вроде каспер? вы в принципе страдать не должны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мда vera26,за русский язык вам единица, читал, сам чуть язык не сломал, написано как из пулемёта!

 

Доброго времени суток народ!

Тут вот что:

За 3 года, через сеть, я ни разу, не словил, ни одного вируса, да и на тот момент, у меня был мобильный интернет!

Сейчас, сие чудо, дом. интернет, юзал инет, (без антивиря конечно же), и подхватил я значит вирус (не знаю как, но не через оперу это точно, да и о вирусе узнал чуть позже), на тот момент, ни какими антивирусами не пользовался вообще!

Буквально, на 3 день, как обычно, включаю компьютер, после загрузки, кликаю на значок соединения, чтобы соединиться, а оно мне пишет какую-то ошибку, перезагрузил комп, всё одно и тоже, и так несколько раз, вот и почуил чего то не ладное, открыл файл менеджер, залез на диск С, и увидел на нём подозрительную папку, запаковал это зло в архив, и проверил на вирусы через онлайн, мои сомнения были не напрасны, там оказалось 4 вируса:

 

Статистика проверки:

1.rar/RECYCLER/S-1-5-21-0243556031-888888379-781863308-1413/Desktop.ini - в порядке

1.rar/RECYCLER/S-1-5-21-0243556031-888888379-781863308-1413/syitm.exe - инфицирован P2P-Worm.Win32.Palevo.coye

1.rar/fxddx.exe - инфицирован P2P-Worm.Win32.Palevo.cpko

1.rar/xdx.exe - инфицирован P2P-Worm.Win32.Palevo.cpko

1.rar/xdxdd.exe - инфицирован P2P-Worm.Win32.Palevo.cpko

Причём у этих детектируемых объектов нет описания, как от них избавиться. Ну что, пришлось косить винду!

После этого пришлось ставить Каспера (чего очень не хотелось), настроил соединение, ура, соединение к интернету подключено, а теперь посыпались сетевые атаки, не часто конечно, но время от времени происходят!

Атаки такие:

Intrusion.Win.NETAPI.buffer-overflow.exploit - Подозреваю что это в компе дело, потому что, когда глянул открытые порты, IP соответствовал с атакующем компьютером, хм, получается он сам себя! :D

Но в последнее время замечена была ещё одна:

Intrusion.Win.MSSQL.worm.Helkern UDP от 218.78.209.165.

В открытых портах данного IP не нашёл.

Проверил IP: 218.78.209.165 (218.78.209.165) :месторасположение Shanghai , China.

Теперь, если многие утверждают что данная атака происходит от самого компа, то каким макаром он мог оказаться в китае!? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VLK2011, для лечения от вирусов есть специальный раздел - http://homenet.beeline.ru/index.php?showforum=950 - там есть инструкция, выполнив которую и предоставив логи, можно было обойтись и без переустановки ОС.

 

Intrusion.Win.NETAPI.buffer-overflow.exploit - Подозреваю что это в компе дело, потому что, когда глянул открытые порты, IP соответствовал с атакующем компьютером, хм, получается он сам себя!
Честно говоря, не понял, как вы, глянув на открытые ПОРТЫ, пишете потом об IP, причём пишете вообще непонятную фразу. Или под выражением "открытые порты" вы имеете в виду "установленные соединения"?

Лучше покажите саму строку из лога Каспера.

 

Потом опять вы пишете эту же непонятную логическую цепочку ПОРТЫ-IP, а в конце похоже спорите сами с собой:

Но в последнее время замечена была ещё одна:

Intrusion.Win.MSSQL.worm.Helkern UDP от 218.78.209.165.

В открытых портах данного IP не нашёл.

Проверил IP: 218.78.209.165 (218.78.209.165) :месторасположение Shanghai , China.

Теперь, если многие утверждают что данная атака происходит от самого компа, то каким макаром он мог оказаться в китае!?

 

Что сим постом вы хотели сказать то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для лечения от вирусов есть специальный раздел - http://homenet.beeli...p?showforum=950 - там есть инструкция, выполнив которую и предоставив логи, можно было обойтись и без переустановки ОС.

В любом случае, мне легче переустановить ОС!

 

Честно говоря, не понял, как вы, глянув на открытые ПОРТЫ, пишете потом об IP, причём пишете вообще непонятную фразу. Или под выражением "открытые порты" вы имеете в виду "установленные соединения"?

Лучше покажите саму строку из лога Каспера.

Вот от сюда: post-701523-006767100 1305027493_thumb.png

 

Что сим постом вы хотели сказать то?

Что это за атака? Та которая последняя была?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок, т.е. как я и подумал имелось в виду "установленные соединения".

 

Последняя атака - это Intrusion.Win.MSSQL.worm.Helkern?

Это червячок, который может быть опасен, только если у вас установлен и используется MS SQL-сервер.

Вот описание - http://www.securelist.com/ru/descriptions/178049/Net-Worm.Win32.Slammer

Решение для вас: либо не обращать внимания на подобные сообщения, либо отключить в Каспере оповещения и протоколирование данных событий, чтобы он молча их резал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Intrusion.Win.NETAPI.buffer-overflow.exploit - это kido в сети живет.

Причём у этих детектируемых объектов нет описания, как от них избавиться. Ну что, пришлось косить винду!

По умолчанию Каспер сам удаляет эти файлы, твоих действий не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Intrusion.Win.NETAPI.buffer-overflow.exploit - это kido в сети живет.
За информацию, спасибо!

 

По умолчанию Каспер сам удаляет эти файлы

Это сканить весь диск C, ради пару вирусов, на это уйдёт суток двое-трое, если учесть сколько там на установлено, и то не факт, что будет всё нормально, помню, годами ранее, после сканирования, у меня Explorer напрочь издох.. Так что проще было, убить час на установку ОСИ и ещё часа 3-4, на установку разных утилит и программ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Через трое суток? Прощу прощения, а можно посмотреть окно свойств этого раздела?

Годами ранее не было защиты от удаления системных файлов. Но начиная с 2008-го года файлы с подписью MS не удаляются, а начиная с 2010-го не удаляются даже без подписи, если он имеет статус "системный" в нашей базе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я заметил такую вещь за касперским, что он после удаления вируса помещает его в с\system volume information\recycler\Axxxx.exe где хххх- произвольный набор цифр, или это вирус туда дублирует себя?? после удаления приходится еще раз прогонять и вычищать из ресайклера все, это весьма неудобно. кис 2010

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это обычная нормальная работа системы. Работает ее служба восстановления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не Каспер его туда помещает, а служба восстановления Windows. Вы просто удалите все точки восстановления, кроме действительно незаражённой, и тогда и в этой папке всё лишнее пропадёт.

Либо вообще на время лечения отключайте эту службу (а именно так лучше и делать).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах