Автор Тема: Рутик  (Прочитано 28450 раз)

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #15 : 26-02-2009 20:04:45 »
Цитировать
ничего не понял... подробностей бы
10.12.2008 12:57:41 TCP от 192.168.161.1 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.expl
адрес иногда меняется

VersuS

  • Гость
Рутик
« Ответ #16 : 26-02-2009 20:09:06 »
192.168.161.1
что это за адрес такой ? хм...
ну а вкратце понятно: скорее всего заражен чей-то компьютер в вашей подсети и с него вирус долбится через преславутый 445 на другие компы...

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #17 : 26-02-2009 20:30:22 »
вот нашёл инфу

Вот у нас в сети была такая фича и человек нашел инфу по этому поводу

Симптомы:
с некоторой периодичностью падает системная служба "Generic Host Process for Win32 Services"
Пропадает инет, сеть, или начинаются глюки типа нельзя подключиться или выйти с инета. Бывает подвисает експлорер.
Нельзя зайти на сайты антивиров и майкрософта.
Он прописывается как служба со случайным именем (маленькие латинские буквы без цифр и нет описания службы) и кладёт в system32 dll-ку со случайным именем.
У мну например
Обнаружено: Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\gduzm.dll

Кроме вышеописаного хранит свои файлы в Temporary Internet Files под видом jpg png файлов


Итак, как вылечиться от этой гадости:
Закрыть порт 445, с помощью антивира или этой программульки,
Просканировать винт антивирусом.
Итог:
1.Ваш антивир найдет вирус и сможет удалить его.
(у меня каспер 2009 этот вирус только нашел, а удалить не смог)
если ваш антивир смог сделать это то все хорошо, если же нет то читаем дальше.

2.Антивир видит вирус , а сделать ничего не может:
Нужно скачать программу AVZ

распаковать, запустить.
Затем Файл\Выполнить скрипт
и вводим в появившееся окно

begin
QuarantineFile('C:\WINDOWS\system32\имя вашего вируса.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip. sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

потом будет перезагрузка.
После перезагрузки опять запускаем AVZ
Файл\Выполнить скрипт
и вводим в появившееся окно

begin
ClearQuarantine;
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\WINDOWS\system32\имя вашего вируса.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.

потом будет перезагрузка.
После перезагрузки ваш антивирус не должен еайти вирус в папке, где он раньше был(если вы все сделали правильно)

Нужно сходить СЮДА и скачать апдейт.
Лечить и ставить заплатку при выключенной сети.
Выключить службу , которую нашли.

Примеры моих скриптов:

begin
QuarantineFile('C:\WINDOWS\system32\gduzm.dll','') ;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip. sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.


begin
ClearQuarantine;
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\WINDOWS\system32\gduzm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.



Да, кстати этот вирус также заражает флешки, так что сканьте флешки, там будет файл autorun.inf и папка Recucled (или что то типа того), удаляйте смело.


VersuS

  • Гость
Рутик
« Ответ #18 : 26-02-2009 23:31:49 »
тот вирус, который был у нас, имеет немного другие симптомы и немного по другому работает...
хотя со статьей согласен, попадается со 2-5 ссылок в гугле :)

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #19 : 26-02-2009 23:46:36 »
Прочитал про порт 445 откуда идёт атака это локальный ресурс и если его замуровать :bu: то локалки не будет вот теперь и думаю что лучше локалка с ,,червями,, или инет без локалки :cc:

Оффлайн Westmere

  • Старший
  • ****
  • Сообщений: 319
  • Карма: +0/-0
Рутик
« Ответ #20 : 27-02-2009 01:43:45 »
Не знаю у меня на Висте что то его нет, да я КИС 2009 его выловит зараз.

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #21 : 27-02-2009 02:37:25 »
NvCplDaemon   RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup   NVIDIA Display Properties Extension   Нулевой риск   NVIDIA Corporation   Реестр: Автозагрузка всех пользователей\Run   01.01.2070 04:11   Разрешено


ctfmon.exe   C:\WINDOWS\system32\ctfmon.exe   CTF Loader   Нулевой риск   Microsoft Corporation   Реестр: Автозагрузка текущего пользователя\Run   01.01.2070 04:11   Исполняется   Разрешено
   
красным выделил когда были добавлены в автозагрузку

Эти данные скопировал с проги ANVIR

KIS 2009 не ругается и не кричит
Есть соображения как это исправить

   
« Последнее редактирование: 27-02-2009 02:39:08 от Iskatel-vetra »

VersuS

  • Гость
Рутик
« Ответ #22 : 27-02-2009 07:47:21 »
Не знаю у меня на Висте что то его нет, да я КИС 2009 его выловит зараз.
ну по крайней мере, как уже было сказано выше, нормальный KAV2009 спал беспробудно :)
глянцевость висты не позволяет перейти на нее даже из-за норм.вирусоустойчивости... уж лучше сразу на 7-ю...

01.01.2070 04:11

сносишь вирь и системная дата перестанет меняться, обратно поставишь и всё...

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #23 : 27-02-2009 11:01:59 »
Цитировать
сносишь вирь и системная дата перестанет меняться, обратно поставишь и всё...
не понял что сносить если прогу AnVir Task Manager то это не поможет если NvCplDaemon   RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup то это библиотека винды без неё могут быть сильные проблемы

Сам вирус который поменял дату удален

вот ещё один сюрприз KIS обноружил

27.02.2009 11:43:27 UDP от 218.75.199.50 на локальный порт 1434 Отсутствуе Обнаружено: Intrusion.Win.MSSQL.worm.Helkern   

похожая проблема нашёл на форуме
http://forum.kaspersky.com/lofiversion/index.php/t7125.html   
« Последнее редактирование: 27-02-2009 11:55:00 от Iskatel-vetra »

VersuS

  • Гость
Рутик
« Ответ #24 : 27-02-2009 11:58:09 »
искатель ветра, у вас внешний ip ?

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #25 : 27-02-2009 12:19:49 »
да внешний IP

VersuS

  • Гость
Рутик
« Ответ #26 : 27-02-2009 13:44:24 »
значит с инета атаки... вооружаемся хорошим антивирусом и файрволом :)

Оффлайн Iskatel-vetra

  • Старший
  • ****
  • Сообщений: 253
  • Карма: +0/-0
    • Интернет казино WM-IGRUN
Рутик
« Ответ #27 : 27-02-2009 15:04:37 »
Цитировать
значит с инета атаки... вооружаемся хорошим антивирусом и файрволом
ага стоит KIS2009 радной брандмауэр  :police:
а самая хорошая защита выдерныть кабель

Оффлайн Westmere

  • Старший
  • ****
  • Сообщений: 319
  • Карма: +0/-0
Рутик
« Ответ #28 : 27-02-2009 20:07:48 »
Кароче что могу сказать переходите на Висту, ХР отстой у меня лично ничего не обнаружено и не изменено.

Оффлайн Le][a

  • Полноправный
  • ***
  • Сообщений: 136
  • Карма: +0/-0
Рутик
« Ответ #29 : 27-02-2009 23:04:04 »
самая лудшая защита это  квалифицированый человек