Рутик

[Iskatel-vetra]

ничего не понял... подробностей бы

10.12.2008 12:57:41 TCP от 192.168.161.1 на локальный порт 445 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.expl
адрес иногда меняется

[VersuS]

192.168.161.1

что это за адрес такой ? хм...
ну а вкратце понятно: скорее всего заражен чей-то компьютер в вашей подсети и с него вирус долбится через преславутый 445 на другие компы...

[Iskatel-vetra]

вот нашёл инфу

Вот у нас в сети была такая фича и человек нашел инфу по этому поводу

Симптомы:
с некоторой периодичностью падает системная служба "Generic Host Process for Win32 Services"
Пропадает инет, сеть, или начинаются глюки типа нельзя подключиться или выйти с инета. Бывает подвисает експлорер.
Нельзя зайти на сайты антивиров и майкрософта.
Он прописывается как служба со случайным именем (маленькие латинские буквы без цифр и нет описания службы) и кладёт в system32 dll-ку со случайным именем.
У мну например
Обнаружено: Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\gduzm.dll

Кроме вышеописаного хранит свои файлы в Temporary Internet Files под видом jpg png файлов


Итак, как вылечиться от этой гадости:
Закрыть порт 445, с помощью антивира или этой программульки,
Просканировать винт антивирусом.
Итог:
1.Ваш антивир найдет вирус и сможет удалить его.
(у меня каспер 2009 этот вирус только нашел, а удалить не смог)
если ваш антивир смог сделать это то все хорошо, если же нет то читаем дальше.

2.Антивир видит вирус , а сделать ничего не может:
Нужно скачать программу AVZ

распаковать, запустить.
Затем Файл\Выполнить скрипт
и вводим в появившееся окно

begin
QuarantineFile('C:\WINDOWS\system32\имя вашего вируса.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip. sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

потом будет перезагрузка.
После перезагрузки опять запускаем AVZ
Файл\Выполнить скрипт
и вводим в появившееся окно

begin
ClearQuarantine;
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\WINDOWS\system32\имя вашего вируса.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.

потом будет перезагрузка.
После перезагрузки ваш антивирус не должен еайти вирус в папке, где он раньше был(если вы все сделали правильно)

Нужно сходить СЮДА и скачать апдейт.
Лечить и ставить заплатку при выключенной сети.
Выключить службу , которую нашли.

Примеры моих скриптов:

begin
QuarantineFile('C:\WINDOWS\system32\gduzm.dll','') ;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip. sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.


begin
ClearQuarantine;
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFile('C:\WINDOWS\system32\gduzm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.



Да, кстати этот вирус также заражает флешки, так что сканьте флешки, там будет файл autorun.inf и папка Recucled (или что то типа того), удаляйте смело.

[VersuS]

тот вирус, который был у нас, имеет немного другие симптомы и немного по другому работает...
хотя со статьей согласен, попадается со 2-5 ссылок в гугле

[Iskatel-vetra]

Прочитал про порт 445 откуда идёт атака это локальный ресурс и если его замуровать то локалки не будет вот теперь и думаю что лучше локалка с ,,червями,, или инет без локалки

[Westmere]

Не знаю у меня на Висте что то его нет, да я КИС 2009 его выловит зараз.

[Iskatel-vetra]

NvCplDaemon   RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup   NVIDIA Display Properties Extension   Нулевой риск   NVIDIA Corporation   Реестр: Автозагрузка всех пользователей\Run   01.01.2070 04:11   Разрешено


ctfmon.exe   C:\WINDOWS\system32\ctfmon.exe   CTF Loader   Нулевой риск   Microsoft Corporation   Реестр: Автозагрузка текущего пользователя\Run   01.01.2070 04:11   Исполняется   Разрешено
   
красным выделил когда были добавлены в автозагрузку

Эти данные скопировал с проги ANVIR

KIS 2009 не ругается и не кричит
Есть соображения как это исправить

   

[VersuS]

Не знаю у меня на Висте что то его нет, да я КИС 2009 его выловит зараз.

ну по крайней мере, как уже было сказано выше, нормальный KAV2009 спал беспробудно
глянцевость висты не позволяет перейти на нее даже из-за норм.вирусоустойчивости... уж лучше сразу на 7-ю...

01.01.2070 04:11

сносишь вирь и системная дата перестанет меняться, обратно поставишь и всё...

[Iskatel-vetra]

сносишь вирь и системная дата перестанет меняться, обратно поставишь и всё...

не понял что сносить если прогу AnVir Task Manager то это не поможет если NvCplDaemon   RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup то это библиотека винды без неё могут быть сильные проблемы

Сам вирус который поменял дату удален

вот ещё один сюрприз KIS обноружил

27.02.2009 11:43:27 UDP от 218.75.199.50 на локальный порт 1434 Отсутствуе Обнаружено: Intrusion.Win.MSSQL.worm.Helkern   

похожая проблема нашёл на форуме
http://forum.kaspersky.com/lofiversion/index.php/t7125.html   

[VersuS]

искатель ветра, у вас внешний ip ?

[Iskatel-vetra]

да внешний IP

[VersuS]

значит с инета атаки... вооружаемся хорошим антивирусом и файрволом

[Iskatel-vetra]

значит с инета атаки... вооружаемся хорошим антивирусом и файрволом

ага стоит KIS2009 радной брандмауэр 
а самая хорошая защита выдерныть кабель

[Westmere]

Кароче что могу сказать переходите на Висту, ХР отстой у меня лично ничего не обнаружено и не изменено.

[Le][a]

самая лудшая защита это  квалифицированый человек