|
Так выберите язык вашей системы там же на страничке загрузки KB958644. Там же меню есть, в чем проблема-то?
Она -это утилка от ESET или KidoKiller? Как получить логи AVZ:
Увас и hijack this запущена из temp-папки. Нужно распаковать скачаный архив AVZ на раб.стол или в корень диска(да куда угодно) и запускать не из темпа или архива. |
chicolatino | |
|
Кажется, в этот раз я всё сделал правильно. Теперь по порядку. В своём предыдущем посте я писал про утилиту МС windows-kb890830-v2.10. Это она позавчера ничего не обнаружила, а вчера нашла на компе два вируса. ESET "антиконфикер" не нашёл ничего. KB958644 я сегодя тоже установил и... всё. Она должна выполнять какие-то действия? Я имею в виду, должна предлагать сканирование компьютера? Все логи собрал по правилам и залил. Вот адреса: http://slil.ru/27735242 http://slil.ru/27735250 http://slil.ru/27735253 |
|
J это флешка, как я понял. Не отключайте ее, оставте подключенной. Закройте все открытые приложения, кроме АVZ. Отключите: - ПК от интернета, локалки - Антивирус и Файрвол. - Системное восстановление! Повторяю. АВЗ\файл\выполнить скрипт\скопируйте скрипт в окошко и нажмите выполнить. Система перезагрузится.
Файл карантина из папки АВЗ залейте на слил.ру ссылку дайте. Этот файл вам знаком? C:\Documents and Settings\Администратор.HOME-68B6EAF056\Мои документы\explorer.pif что-то знакомое. Это не АВЗ случайно переименованая? Если нет, проверьте его на http://www.virustotal.com/ru/ ссылку на проверку разместите в следующем сообщении. Повторите лог №2 syscheck.zip c подключенной флешкой и вашими USB дисками(в АВЗ ничего дополнительно помечать не нужно просто выполните стандартный скрипт №2) Adobe\Reader 8.0 необходимо обновить до последней версии. NortonSystemWorks 2004- не понимаю, зачем это старье у вас на компьютере. После того, как сделаете и выложите новый лог АВЗ, проверьте систему KidoKiller'ом. НОД продолжает ругаться на конфикера, или успокойлся?
Нет, это патч-системная заплатка, которая прикрывает дыру используемую conficker. Это сообщение отредактировал Semenka - 07-06-2009 - 19:24 |
chicolatino | |
|
Всё сделал, как вы рекомендовали. События развивались следующим образом. Вчера вытащил флешку из компа и никуда её больше не включал (флешка это J). Сегодня утром опять вставил, НОД обнаружил на ней в авторане конфикера, которого удалил (потребовал перезагрузиться). После этого я выполнил скрипт, файл карантина здесь: http://slil.ru/27739572 Затем подключил к компу два жёстких, на одном из них НОД опять обнаружил конфикера в авторане, которого опят-таки удалил с перезагрузкой. Затем я выполнил скрипт №2 с подключённым флешкой и жёсткими. Результат здесь: http://slil.ru/27739614 Скрипт пришлось выполнять два раза, потому что в первый раз после очередной перезагрузки я забыл отключить антивирус и брандмауэр. После этого сделал поверхностный скан компа и всех подключённых дисков утилитой windows-kb890830-v2.10. Она ничего не нашла. Этот файл C:\Documents and Settings\Администратор.HOME-68B6EAF056\Мои документы\explorer.pif вы мне рекомендовали для проверки ноута, я его скачал, но по прямому назначению ещё не использовал. Я сейчас плотно работаю на ноуте, пока ищу червей на стац. компе:), поэтому проверку ноута пока пришлось отложить. Адоб обновил. НОД пока молчит. |
|
Система и карантин чистые. Конфикера видимо НОД удалил до скрипта.
АВЗ\файл\мастер поиска и устранения проблем\системные\"проблемы средней тяжести" измените в меню на "все" проблеммы\пуск. Какие найдёт, пометте галочками-кнопка "исправить отмеченные"(автоматическое обновление и автозапуск с CD по желанию). Автозапуск со сменных носителей рекомендую отключить, но это ваше дело. Сетевая активность svchost.exe наблюдается? Теперь о ваших уязвимостях:
http://security-advisory.virusinfo.info/EBook30.htm Внимательно прочитайте раздел "Основные службы (Windows XP, Vista)" и приведите их состояние и режимы запуска, как там рекомендовано. Да и вообще прочитайте все что в этой книжке советуют. Если надумаете все же устанавливать SP3 помните, что необходимо обязательно выгрузить(а лучше всего удалить на время) все программы безопасности, иначе могут возникнуть проблеммы при установке и после! Так же после установки потребуется повторная активация Windows!
ESET как всегда жжет! Чтобы удалить авторан с флешки необходимо перезагрузить систему в мести с собой! Даже разделов на форуме еще не придумано, куда это можно поместить)
Семен Семеныч... :)) Забыл. |
chicolatino | |
|
То, что заразы нет, это очень радует. Но всё-таки у меня опять-таки есть несколько вопросов. Можно ли с достаточной степенью достоверности определить, а был ли вообще этот конфикер? Спрашиваю потому, что прочитал о нём кое-какую информацию и с уверенностью могу сказать, что описываемых симтомов у меня на компе не было, хотя понимаю, что это ещё не доказательство того, что не было самого вируса. Что мне делать с программой hffext? Можно её установить обратно или не стОит? Первую вашу рекомендацию я выполнил, но вот с уязвимостями немного не получилось. Эту тему я в книге прочитал, однако ресурс, с которого можно скачать Windows Worms Doors Cleaner сейчас недоступен. Можно ли разобраться с этими уязвимостями как-то иначе? svchost.exe за последние два дня вроде закконектиться не пытался... За остальные рекомендации- большое спасибо! |
|
Был, не переживайте) Что по вашему удаляли утилиты и НОД? Симптомы у разных его версий, разные. И в системах поведение его тоже разное, в зависимости от их конфигурации и установленного ПО.
Если она вам нужна, установите. Сама по себе она вредоносного действия не несет и от программ безопасности она ничего не скрывает, только от ваших глаз.
Первую рекомендацию, это какую, SP3 установили? Или первую из прошлого поста "поиск и устранение проблемм"? Что у вас не получилось с настройками служб? Конкретнее. Работающие уязвимые сервисы, это и есть ваши уязвимости. Windows Worms Doors Cleaner можете здесь скачать http://www.sendspace.com/file/342piq, но у вас хороший firewall установлен и при правильной настройке он неплохо защищает. |
chicolatino | |||||
|
Я как раз переживаю, что он был:)) Нет, третий сервиспак я ещё не установил, а сделал вот это:
С уязвимостями просто не удалось скачать рекомендованную утилиту по указанному адресу. По второму адресу я её скачал, так что отключу уязвимости, как описано в книге. Насчёт Агнитума- да, он хороший, но вот с настройками... Нужно много времени, чтобы с ними разобраться и правильно их установить... Через некоторое время я ещё хочу проверить ноут, думаю, там тоже что-то сидит. Сначала сделаю, как вы раньше рекомендовали, а если что-то не получится- спрошу опять. Спасибо, удачи, с меня +1! |
|
Или я вас не понял или вы меня. Windows Worms Doors Cleaner не устраняет уязвимости, он лишь частично прикрывает уязвимые порты. Повторю, уязвимости -это запущеные службы, которые рекомендуется отключить. Каждая из них может быть использована трояном для выполнения своих целей(проникновение, сохранение себя в системе, распостранение, передача ваших данных злоумышленнику, порча данных, удаленное управление вашей системой... и многое доугое). Windows Worms Doors Cleaner здесь не поможет. |
chicolatino | |||
|
А как это сделать? Насколько я понял из этой книги, сделать это можно при помощи программы Windows Worms Doors Cleaner. Наверное, я ошибся... |
|
Пуск\панель управления\администрирование\службы Правой кнопкой мыши на службу\свойства и выбираете например "стоп", тип запуска "отключено", применить. После того как весь список приведете в соответствие с рекомендацией, перезагружаете систему. Так же на главной странице есть уже готовый файл конфигурации EXE http://security-advisory.virusinfo.info/ Его можно просто запустить и потом перезагрузиться, но я хотел, чтобы вы вручную выбирали что и как отключать, тогда при необходимости сможете запустить нужную службу. |
Mateo | |||
|
Упаси боже такое говорить, когда сотрудники Microsoft`а вокруг нас. Ладно... Но мне просто интересно, какие службы Майкрософта способствуют проникновению вирусов? Никогда про такое не слышал... |
|
Для примера NetBIOS, Telnet, Server,Terminal Services, удаленный помошник, уд. раб. стол это которые я напрямую буду использовать, чтобы получить шелл вашей машины безо всяких троянов, сканом портов и эксплоитом. Мне нужен будет только например ваш 445(можно и другой) порт, и рабочие службы. Мне даже пароля вашего не нужно, залью вам радмин-сервер какой нибудь, терминал, создам учетку, подключусь через удаленный рабочий стол и будем с вами вдвоем вашим интернетом пользоваться. Но это боян и геморой. Проще трояна вам запустить, пускай делает все в автоматическом режиме, а трояна вы и сами из сети возьмете и даже добровольно себе установите, например с кряком каким нибудь. Вот тогда при рабочих сервисах он сможет развернуться в системе как следует. Вот совсем свежая тема прямо к вашему вопросу https://www.sxnarod.com/index.php?showtopic=258298 Это сообщение отредактировал Semenka - 11-06-2009 - 01:29 |
|
Это страшилки для начинающих пользователей. :) Из серии городских легенд. Особенно мне понравилась история про lanmanserver и "разворачивание при работающих сервисах". Какой-то я сегодня ворчливый и критикующий. М-дя. ПМС и кармические потоки, явно. |
|
Откуда такой скепсис? Сиситема рабочая, по крайней мере не вижу причины ей не работать. Инструмент самый простой: Metasploit + XSpider или ip angry. Или ты хочешь сказать что это тоже байка: http://www.tarasco.org/security/smbrelay/index.html Наличие эксплоита -да( MS08-067_netapi ). Чего тебе еще не хватает? Даже видео было по реальному взлому(если можно его так назвать) на BlackHat кажется... M$ разумеется эту дырку прикрыла http://support.microsoft.com/kb/957097/ru , но не все же у нас ставят заплатки вовремя, да что заплатки,- сервис паки не ставят даже. Так что не мешай пугать, пускай народ обновляется))) |
|
Уговорил. :)
|
chicolatino | |
|
Службы я отключил, а дальше посмотрим. На мой взгляд, безопастность не бывает лишней, но всё-таки... Вот, например, в этой книге рекомендуется отключить в броузере JavaScript и приём кукисов. С точки зрения безопасности, наверное, это правильно. Но вот, например, писать на форумах становится неинтересно...:)
|
|
Я не знаю каким браузером вам нравится пользоваться. Я пользуюсь Firefox 3.0.10, 3.5; Iceweasel 3.0.6-1(та же мозилла) и Opera 10beta Linux, которая за последние 4 дня 3-жды упала и даже не дала просмотреь отчет об ошибке(только отправить). Firefox в отношении комфортного серфа, на сегодняшний день, лучший браузер(имхо), благодоря бесчисленным Add-on'ам: и в частности незаменимым в отношении безопасности NoScript, CoockieSafe и Adblock+, которые помогают избирательно управлять скриптами и куками. Кроме того через about:config мозиллу необходимо настроить под себя, тогда вам будет удобно и относительно безопасно на любых страницах. Какой браузер вы используете? |
chicolatino | |||
|
Опера 9.24. Пробовал и Мозиллу, но чёто она мне не понравилась... |
muzcinoff | |||||
|
|
Vadim2268 | |
|
И снова день добрый, вновь проблема... Суть, есть флешка 16Гб, там много всяких вкусняшек и тому подобного... юзаю только на двух машинах на которых стоит касперский, вирусов нет, на флешке тоже все гуд (ни вирусов ни авторанов ничего...), два дня назад беру с компа копирую фильм на флешку и сразу вначале копирования произошел какой то глюк... что то выплюнуло кучу ошибок (что именно уже и не помню), и в результате на флешку скопировался лишь образ этого фильма (размером 0 байт), так вот, теперь я тот образ не могу адалить... как только не пытался, удаляю, а он раз и вновь появляется... Форматировать флешку не хочу... кто что может подсказать??? |
Vadim2268 | |
|
Короче отформатировал флешку, стала работать нормально, вернул назад туда информацию... все пучком, прихожу вечером домой еще закидываю туда два фильма, один закинулся нормально, при копирование второго фильмы выплюнуло сообщение - Виндовс - ошибка при копирование... ну и вновь вернулись старые кони... при удаление того файла или при закидование нового выдает ошибки (смотри скрины). Вся беда в том, что такое происходи на любой машине куда не вставлю флешку... Что можете сказать??? Баг флешки??? Получить код этого сета |
Алексеев | |
|
Как звать флешку? :)
|
Vadim2268 | |||
|
флешка takeMS 16 гыгов, обнаружил, что глючить начинает как подогреется... |
Алексеев | |||
|
...а подогревается в процессе записи. Лан, раз точной модели нет, скачайте отсюда >>> две чудо-проги. С помощью первой прогоните тестами память флешки, на предмет бэдов и прочей гадости. Только перед тестом на запись скопируйте всю инфу на винт. Показания второй просто запостите сюда :) |
Рекомендуем почитать также топики: Хелп!!! Нет звука на компе, что делать? Создаем игру вместе! The Punisher ...первая игра... |