RialCom - Forum
О компьютерах и мобильных устройствах => Операционные системы => Windows => Тема начата: Iskatel-vetra от 23-02-2009 12:20:50
-
Рутик
Вот интересно какая с...ч запустила по локалки это гадость :o
И зачем это надо
-
А можно по английски :) rootkit?
-
и название его
-
Название не запомнил но этот гад зделал файл систем датой 2070года
-
ахаха дада тока что эта фень у меня была :) каспера обошла ))))
-
ахаха дада тока что эта фень у меня была :) каспера обошла ))))
поподробнее??????
-
Вообщем, толи троян, толи руткит (название не помню) :)
Попал ко мне без проблем, KAV 2008 мирно спал )))
Сначала эта гадина меняет системную дату на 2070 год. Потом начинает создавать в некоторых системных директориях экзешники и другие вирусованые файлы (вот их и палят антивирусы :) ). Затем начинает вылетать системная ошибка о завершении работы приложения "system.exe". После того как нашел его в C:/windows/system32/ и убил её Unlocker,ом (просто его не удалить, т.к. используется explorer'oм) всё прекратилось :). Обновленые KAV 2008 и avira это сделать не удосужились...
Кстати когда пытался вылечить, поставил Аутпост. Тот показывал даже на какой адрес она стучиться :)
А вообще как-то легко всё вышло о_О странно даже...
-
ставьте нод 32)
-
нод тоже не помог ( v3, антивирус)
-
нод тоже не помог ( v3, антивирус)
Тоже поймал эту пакость :) У меня Стоит Авира...
-
нод тоже не помог ( v3, антивирус)
Тоже поймал эту пакость :) У меня Стоит Авира...
У меня нет антивирусов и прочего, уже год с чем-то нормально пашет :)
-
ты же на линуксе :) , а на виртуалке не считается :)
-
виста месяц работы без защиты только один червь который не видели антивирусы
-
Kis 2009 вроде блокирует какой-то адрес , а тех.поддержке сказали что это не их проблема :o
-
Kis 2009 вроде блокирует какой-то адрес , а тех.поддержке сказали что это не их проблема :o
ничего не понял... подробностей бы
-
ничего не понял... подробностей бы
10.12.2008 12:57:41 TCP от 192.168.161.1 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.expl
адрес иногда меняется
-
192.168.161.1
что это за адрес такой ? хм...
ну а вкратце понятно: скорее всего заражен чей-то компьютер в вашей подсети и с него вирус долбится через преславутый 445 на другие компы...
-
вот нашёл инфу
Вот у нас в сети была такая фича и человек нашел инфу по этому поводу
Симптомы:
с некоторой периодичностью падает системная служба "Generic Host Process for Win32 Services"
Пропадает инет, сеть, или начинаются глюки типа нельзя подключиться или выйти с инета. Бывает подвисает експлорер.
Нельзя зайти на сайты антивиров и майкрософта.
Он прописывается как служба со случайным именем (маленькие латинские буквы без цифр и нет описания службы) и кладёт в system32 dll-ку со случайным именем.
У мну например
Обнаружено: Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\gduzm.dll
Кроме вышеописаного хранит свои файлы в Temporary Internet Files под видом jpg png файлов
Итак, как вылечиться от этой гадости:
Закрыть порт 445, с помощью антивира или этой программульки,
Просканировать винт антивирусом.
Итог:
1.Ваш антивир найдет вирус и сможет удалить его.
(у меня каспер 2009 этот вирус только нашел, а удалить не смог)
если ваш антивир смог сделать это то все хорошо, если же нет то читаем дальше.
2.Антивир видит вирус , а сделать ничего не может:
Нужно скачать программу AVZ
распаковать, запустить.
Затем Файл\Выполнить скрипт
и вводим в появившееся окно
begin
QuarantineFile('C:\WINDOWS\system32\имя вашего вируса.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip. sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
потом будет перезагрузка.
После перезагрузки опять запускаем AVZ
Файл\Выполнить скрипт
и вводим в появившееся окно
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\WINDOWS\system32\имя вашего вируса.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
потом будет перезагрузка.
После перезагрузки ваш антивирус не должен еайти вирус в папке, где он раньше был(если вы все сделали правильно)
Нужно сходить СЮДА и скачать апдейт.
Лечить и ставить заплатку при выключенной сети.
Выключить службу , которую нашли.
Примеры моих скриптов:
begin
QuarantineFile('C:\WINDOWS\system32\gduzm.dll','') ;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip. sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\WINDOWS\system32\gduzm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
Да, кстати этот вирус также заражает флешки, так что сканьте флешки, там будет файл autorun.inf и папка Recucled (или что то типа того), удаляйте смело.
-
тот вирус, который был у нас, имеет немного другие симптомы и немного по другому работает...
хотя со статьей согласен, попадается со 2-5 ссылок в гугле :)
-
Прочитал про порт 445 откуда идёт атака это локальный ресурс и если его замуровать :bu: то локалки не будет вот теперь и думаю что лучше локалка с ,,червями,, или инет без локалки :cc:
-
Не знаю у меня на Висте что то его нет, да я КИС 2009 его выловит зараз.
-
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup NVIDIA Display Properties Extension Нулевой риск NVIDIA Corporation Реестр: Автозагрузка всех пользователей\Run 01.01.2070 04:11 Разрешено
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe CTF Loader Нулевой риск Microsoft Corporation Реестр: Автозагрузка текущего пользователя\Run 01.01.2070 04:11 Исполняется Разрешено
красным выделил когда были добавлены в автозагрузку
Эти данные скопировал с проги ANVIR
KIS 2009 не ругается и не кричит
Есть соображения как это исправить
-
Не знаю у меня на Висте что то его нет, да я КИС 2009 его выловит зараз.
ну по крайней мере, как уже было сказано выше, нормальный KAV2009 спал беспробудно :)
глянцевость висты не позволяет перейти на нее даже из-за норм.вирусоустойчивости... уж лучше сразу на 7-ю...
01.01.2070 04:11
сносишь вирь и системная дата перестанет меняться, обратно поставишь и всё...
-
сносишь вирь и системная дата перестанет меняться, обратно поставишь и всё...
не понял что сносить если прогу AnVir Task Manager то это не поможет если NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup то это библиотека винды без неё могут быть сильные проблемы
Сам вирус который поменял дату удален
вот ещё один сюрприз KIS обноружил
27.02.2009 11:43:27 UDP от 218.75.199.50 на локальный порт 1434 Отсутствуе Обнаружено: Intrusion.Win.MSSQL.worm.Helkern
похожая проблема нашёл на форуме
http://forum.kaspersky.com/lofiversion/index.php/t7125.html (http://forum.kaspersky.com/lofiversion/index.php/t7125.html)
-
искатель ветра, у вас внешний ip ?
-
да внешний IP
-
значит с инета атаки... вооружаемся хорошим антивирусом и файрволом :)
-
значит с инета атаки... вооружаемся хорошим антивирусом и файрволом
ага стоит KIS2009 радной брандмауэр :police:
а самая хорошая защита выдерныть кабель
-
Кароче что могу сказать переходите на Висту, ХР отстой у меня лично ничего не обнаружено и не изменено.
-
самая лудшая защита это квалифицированый человек
-
самая лудшая защита это квалифицированый человек
Это не меняет суть вопроса...