Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Eolan

Какую-то инфекцию сейчас я проглотил.

Рекомендованные сообщения

Eolan, а для каких целей вам нужен UPnP в роутере? Только для RDP? Тогда проще просто прокинуть порт в роутере, чем держать в нём запущенной лишнюю финтифлюшку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Eolan, а для каких целей вам нужен UPnP в роутере? Только для RDP? Тогда проще просто прокинуть порт в роутере, чем держать в нём запущенной лишнюю финтифлюшку.

 

Скорее для прог которые умеют с этим UPnP работать и которые я часто не использую - например Skype (первое что пришло в голову). RDP то как раз только прокидывать руками через роутер с фильтрацией IP (не хочу всем открывать порт, только себе на работе :censored: ) ...

 

Нащет мусора в сети - кого он в моем сегменте волнует то? Где тока комп нотик и спа-шка. :censored: (Просто для памяти - UPnP должен работать во внутреннюю сеть, а не во внешнюю... Про глючные девайсы в которых он работает в обе стороны я знаю - мой к ним не относится.)

 

Тут проблемка возникла однако. Восстановление системы обратно включаться не желает. Т.е. при попытке включения виснет комп (мышь работает, но не клавиатура).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Однако все по новой - домашние схватили... AV-DESK бил-бил, не убил...

hijackthis4.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Однако все по новой - домашние схватили... AV-DESK бил-бил, не убил...

что по новой?

кого не убил?

в логе особого криминала нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Однако все по новой - домашние схватили... AV-DESK бил-бил, не убил...

что по новой?

кого не убил?

в логе особого криминала нет

 

В джеке нет. В авз есть и вирь сидит. (кстати вирь научился маскировать userinit)

virusinfo_syscure.zip

virusinfo_cure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так отправьте tsControl.exe на virustotal

 

ps C:\WINXP\system32\58074f1b.exe вот из лога видимо оно. надо отлавливать этот файлик, но он может менять название.

зы2 + C:\WINXP\system32\eaanlj.exe

 

я ловлю так. тупо отключаю питание и гружусь с лив сиди и им нахожу такой файл, далее на вирустотал. далее знаем кого лечить.

зыыы и отчистите уже наконец комп от хвостов нортона и автозапуск от ненужного мусора

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость aleksei123321

извиняюсь что встреваю. просто тоже поймал сегодн\я дрянь какую-то.

 

07.08.2010 22:49:21 Подозрительный фишинговая ссылка ********* Высокая

 

вот что дал результат поиска по названию сайта: http://safeweb.norton.com/report/show?name...untprowatch.com

 

через некоторое время после запуска впн(вроде чисто на локалке нормально всё) эта дрянь куда-то рвется наружу,каспер чето брякает,и потом один из "хвостов" в процессах грузит систему на 100%((

 

ссылка убита //VladimirSS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Eolan, пофиксить в Хайджеке:

F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\58074f1b.exe,C:\WINXP\ system32\eaanlj.exe,

 

Выполнить скрипт в AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINXP\system32\58074f1b.exe','');
QuarantineFile('C:\WINXP\system32\eaanlj.exe','');
QuarantineFile('C:\WINXP\system32\MsSip3.dll','');
QuarantineFile('C:\WINXP\system32\MsSip2.dll','');
QuarantineFile('C:\WINXP\system32\MsSip1.dll','');
QuarantineFile('C:\WINXP\System32\Drivers\Yfj72.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Yej33.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Yei48.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Xej51.sys','');
DeleteFile('C:\WINXP\system32\58074f1b.exe');
DeleteFile('C:\WINXP\system32\eaanlj.exe');
RebootWindows(true);
end.

Карантин на почту из Инструкции или в личку.

 

Однако все по новой - домашние схватили...
Где они их находят?? Если так и дальше пойдёт, то может есть смысл поставить Линукс?

 

aleksei123321 - внимательно прочитать: ИНСТРУКЦИЯ и создать новую тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Eolan, пофиксить в Хайджеке:

F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\58074f1b.exe,C:\WINXP\ system32\eaanlj.exe,

 

Бессмысленно, он следит за этим ключом. C:\WINXP\system32\58074f1b.exe','C:\WINXP\system32\eaanlj.exe' - уже руками с ливсиди переместил. могу прислать - но сдается мне что это генерация того что было - подпись БитДефендер.

 

Выполнить скрипт в AVZ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINXP\system32\58074f1b.exe','');
QuarantineFile('C:\WINXP\system32\eaanlj.exe','');
QuarantineFile('C:\WINXP\system32\MsSip3.dll','');
QuarantineFile('C:\WINXP\system32\MsSip2.dll','');
QuarantineFile('C:\WINXP\system32\MsSip1.dll','');
QuarantineFile('C:\WINXP\System32\Drivers\Yfj72.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Yej33.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Yei48.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Xej51.sys','');
DeleteFile('C:\WINXP\system32\58074f1b.exe');
DeleteFile('C:\WINXP\system32\eaanlj.exe');
RebootWindows(true);
end.

Карантин на почту из Инструкции или в личку.

 

Опять повис на перезагрузке. Сегодняшний карантин пустой. Вчерашний в почте.

virusinfo_syscheck.zip

hijackthis5.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Eolan, а слабо вычленить эти файлы и отправить на вирустотал? то что у вас avz почему-то не дорабатывает мы уже успели понять. два указанных выше .exe хотелось бы увидеть ссылки на отчеты с вирустотал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Eolan, а слабо вычленить эти файлы и отправить на вирустотал? то что у вас avz почему-то не дорабатывает мы уже успели понять. два указанных выше .exe хотелось бы увидеть ссылки на отчеты с вирустотал.

 

А Вирустотал их вирусом не особо считает походу.

 

http://www.virustotal.com/ru/analisis/c32e...635c-1281323646

http://www.virustotal.com/ru/analisis/080e...d833-1281323703

 

11 из 42 - ничтожно мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если что-то "держит процесс", то это скорее всего новая или модифицированая вирусом служба, покопайте в этом направлении, скачайте (если нет) утилиты от Русиновича и отследите всю активность этих файлов, можь что и прояснится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А Вирустотал их вирусом не особо считает походу.

 

http://www.virustotal.com/ru/analisis/c32e...635c-1281323646

http://www.virustotal.com/ru/analisis/080e...d833-1281323703

 

11 из 42 - ничтожно мало.

11\42 -достаточно.

 

 

зы ссылки открылись.

полностью сносим все ваши антивирусы, берем КАСПЕРА 2010 (лучше КИС пробный), или AVG, ставим, сканим. настройки на максимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
полностью сносим все ваши антивирусы, берем КАСПЕРА 2010 (лучше КИС пробный), или AVG, ставим, сканим. настройки на максимум.

 

Т.е. KRD 10 недостаточен? AVG, хм, впервые слышу. Ладно будем пробовать. Насчет вредоносных сайтов вы кстати тоже просили - пожалуйста

не жать сюда

 

отсюда точно идет атака... кстати. симантек ее отбивает на раз. что удивительно.

 

UPD: Кстати последний скрипт AVZ походу прибил вполне легитимное ПО от HP (МФУ дома стоит).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
полностью сносим все ваши антивирусы, берем КАСПЕРА 2010 (лучше КИС пробный), или AVG, ставим, сканим. настройки на максимум.

 

Т.е. KRD 10 недостаточен?

нет в нем не все механизмы реализованы, я б не тратил время.

hp можно и переустановить. не страшно.

по ссылке. сайт (сильно перегружен скриптами) открывает еще одно окно (возможно случайный выбор) , и вот оно не заслуживает доверия (может не регулярно нести в себе что угодно), сервис WOT его блокирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
сервис WOT его блокирует.

 

А что это такое? Надо бы себе поставить чтоль. Насчет KIS - не скоро это будет, потому что подписку на веба терять не хочется. Да и по моему я уже триал пользовал(давным-давно). Насчет HP - конечно не страшно, единственное что обновляться оно долго будет. :( Насчет сайта - я уже сказал КАКОГО окошка (черное, продолговатое, с надписью текстом Close [X] ) надо бояться.

 

UPD: Более всего обидно, что стали пробивать FireFox. ;(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
сервис WOT его блокирует.

 

А что это такое? ...

плагин сервиса для ff и др. броузеров http://www.mywot.com/ru/download

ну если важней падписка, то .... сорри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
плагин сервиса для ff и др. броузеров http://www.mywot.com/ru/download

 

Спасибо, надо будет поставить.

 

ну если важней падписка, то .... сорри.

 

Скажем так - важно и то, и другое. Ведь согласитесь, когда каспера пробьют к примеру через полгода, опять бечь деньги ноду платить? А потом Авире - и так по кругу? Просто какое-то время уйдет на получение инсталера Dr.Web и все. После чего процедура будет выполнена, единственное что - не знаю запустится ли у меня триал KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Скажем так - важно и то, и другое. Ведь согласитесь, когда каспера пробьют к примеру через полгода, опять бечь деньги ноду платить? А потом Авире - и так по кругу? Просто какое-то время уйдет на получение инсталера Dr.Web и все. После чего процедура будет выполнена, единственное что - не знаю запустится ли у меня триал KIS.

в данный момент было предложено установить любую прогу, которая лечит в конкретной ситуации. если чистить реестр после удаления, то установится все что угодно хоть по 5 раз в день.

вариант - ждать решения от drweb. вы ж вроде легальный пользователь, и они вроде должны. :(

более сложный путь отправить файлы на анализ в лабы разных вендоров. поработать с файлами на стендах, (http://anubis.iseclab.org/) посмотреть что там происходит, и выстраивать схему лечения в ручную. НО нахера козе баян если 11 антивирей эту гадость детектит. это не новый вирь!!! тратить время может тока вендор, который не детектит.

 

зы как вариант лечим больной хард на другой (укомплектованной нужным софтом) машине, подключив как внешний. я делаю так чаще всего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
UPD: Кстати последний скрипт AVZ походу прибил вполне легитимное ПО от HP (МФУ дома стоит).

Этим скриптом были убиты только два вредоносных файла - 58074f1b.exe и eaanlj.exe - два Шиза (см. Вирустотал).

Который из них от МФУ ? ;)

 

А FireFox без дополнительных защитных плагинов - ещё то решето. Adblock Plus и NoScript в помощь.

 

 

 

Ведь согласитесь, когда каспера пробьют к примеру через полгода, опять бечь деньги ноду платить? А потом Авире - и так по кругу?

При таком подходе к безопасности непременно пробьют. Что мешает создать хотя бы учётку с ограниченными правами, поотключать автозапуски?

 

P.S. Сходил я на этот "опастный" сайт, разрешил все всплывающие окна, потыкал по ссылкам - никто меня не атакует, ни в Опере, ни в Мозиле. Скушно, господа. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
зы как вариант лечим больной хард на другой (укомплектованной нужным софтом) машине, подключив как внешний. я делаю так чаще всего.

 

На работе то запросто... :lol: А вот дома... Хотя есть вариант с системным юсб-диском (под мою мать)... И установленным там симантеком.

 

Этим скриптом были убиты только два вредоносных файла - 58074f1b.exe и eaanlj.exe - два Шиза (см. Вирустотал).

Который из них от МФУ ? ;)

 

вот эти:

QuarantineFile('C:\WINXP\system32\MsSip3.dll','');
QuarantineFile('C:\WINXP\system32\MsSip2.dll','');
QuarantineFile('C:\WINXP\system32\MsSip1.dll','');
QuarantineFile('C:\WINXP\System32\Drivers\Yfj72.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Yej33.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Yei48.sys','');
QuarantineFile('C:\WINXP\System32\Drivers\Xej51.sys','');

 

Физически они не прибиты, но положить их на место просто так уже не получится - HP увидел их отсутствие и решил переустанавливаться.

 

А FireFox без дополнительных защитных плагинов - ещё то решето. Adblock Plus и NoScript в помощь.

 

Прискорбно это... Идем по пути IE?

 

При таком подходе к безопасности непременно пробьют. Что мешает создать хотя бы учётку с ограниченными правами, поотключать автозапуски?

 

Хм. Не хотел я дома устраивать ограничения однако.

 

P.S. Сходил я на этот "опастный" сайт, разрешил все всплывающие окна, потыкал по ссылкам - никто меня не атакует, ни в Опере, ни в Мозиле. Скушно, господа. :)

 

А вам кто то гарантировал заражение? ;) Оно там может быть, а может быть и нет... Просто последние атаки прошли именно оттуда, и немала вероятность, что сайт уже пофиксили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Eolan, я бы на вашем месте форматнул хард, а все нужное на флешку или другой жесткий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Eolan, я бы на вашем месте форматнул хард, а все нужное на флешку или другой жесткий.

 

И каким образом это поможет уже чистой системе от новых заражений? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Прискорбно это... Идем по пути IE?

нет не идем. а ставим плагины для ff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Eolan, я бы на вашем месте форматнул хард, а все нужное на флешку или другой жесткий.

 

И каким образом это поможет уже чистой системе от новых заражений? :)

все таки могло что-то остаться от вирей что снова заражается система

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Прискорбно это... Идем по пути IE?

нет не идем. а ставим плагины для ff

 

Плагины то ставим. Кстати отметил для себя забавную весчь, с самого выхода DrWebовский link checker был установлен... И каким то непонятным образом пропал... Возможно это случилось в момент удаления FireFox.

 

все таки могло что-то остаться от вирей что снова заражается система

 

Система совершенно четко заражается из Инета. Формат и перестановка системы тут ничем не помогут. Как совершенно правильно ответил VladimirSS, поможет скан диска на другой системе с другим Антивирусом, а лучше двумя-тремя... (В моей ситуации прискорбно что ни дрвеб ни касперский в своих LiveCD эту гадость не ловят.)Если же и они ничего не найдут - перестановка системы будет бессмысленной - руткит если его не видят антивиры снова пролезет, а если и так все удалено, то будет потрачено время. Итак, я в упор не вижу необходимость перестановки системы для опытных пользователей и администраторов. Ну если только вы не имеете под перестановкой системы одновременный переход на Mandriva Linux например. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Система совершенно четко заражается из Инета. Формат и перестановка системы тут ничем не помогут. Как совершенно правильно ответил VladimirSS, поможет скан диска на другой системе с другим Антивирусом, а лучше двумя-тремя... (В моей ситуации прискорбно что ни дрвеб ни касперский в своих LiveCD эту гадость не ловят.)Если же и они ничего не найдут - перестановка системы будет бессмысленной - руткит если его не видят антивиры снова пролезет, а если и так все удалено, то будет потрачено время. Итак я в упор не вижу необходимость перестановки системы для опытных пользователей и администраторов.

хозяин-барин

а по теме: я предложил просто свой вариант решения

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
хозяин-барин

а по теме: я предложил просто свой вариант решения

 

Он вполне подойдет рядовому пользователю, согласен с вами. Но у меня система стоит уже 7 лет. :) И пережила несколько вирусов и несколько антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
хозяин-барин

а по теме: я предложил просто свой вариант решения

в этой ветке не принято предлагать формат, она не для этого!!! так для общего развития.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Он вполне подойдет рядовому пользователю, согласен с вами. Но у меня система стоит уже 7 лет. :rolleyes: И пережила несколько вирусов и несколько антивирусов.

Однако, Tempora mutantur et nos mutamur in illls (Времена меняются и мы меняемся с ними.).

И технологии атак и заражения, ведь, тоже не стоят на месте.

 

Учетную запись с ограниченными правами использовать не хочешь.

Отключить потенциально опасные службы тоже.

(кстати, вспомнил заодно, описание серьезной уязвимости в UPnP у меня есть <_< ).

 

Тогда продукт AV-Desk - совершенно неподходящий выбор для использования.

Нужно что-то с бОльшим функционалом, работающее на предотвращение, но не на устранение последствий.

С возможностью проверки на лету объектов, поступающих на компьютер в процессе серфинга и проверку всех скриптов в интернете.

Но это не бесплатно и при правильной настройке тоже станет самоограничением.

А при неправильной настройке ничем не поможет в условиях серфинга под учеткой с административными правами.

 

Либо с помощью плагинов запрещать выполнение активных сценариев в браузере. Но это тоже самоограничение.

 

Либо пользоваться программами, возвращающими состояние диска в исходное при каждой перезагрузке. Но они небесплатны.

 

Но совсем без ограничений задача не имеет положительного решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах