Показано с 1 по 12 из 12.

Машина чиста, но постоянно откуда-то лезет Win32.Alman . Не могу понять откуда. (заявка № 15788)

  1. #1
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    6
    Вес репутации
    60

    Thumbs up Машина чиста, но постоянно откуда-то лезет Win32.Alman . Не могу понять откуда.

    Установлено:
    1. FlylinkDC++ (r307), раньше стоял Strong DC++ 2.03;
    2. Doctor Web 4.44 . ПОследнее обновние 14:00 29.12.07
    3. Outpost Security Suite Pro 2008 версия 6.0.2154.8211 ПОследнее обновние 14:00 29.12.07;
    для приложения FlylinkDC++ (r307) - сформировано стандартное правило.
    Опция "Разрешать этому приложению любое действие" - отключена, во избежание проникновение вирусов из сети через р2р-трекер.

    За довольно короткое время, неделю-две, поймал два вируса.
    Win32.Alman
    Win32.sector.28682

    Поймал и продолжаю ловить. Из р2р. Уже и менял р2р-клиенты, и лечил компьютер, успешно. Удаляю клиент, - всё нормально. И не один день.Только установлю р2р-клиент - сразу вся разшаренная папка заражается. Все вирусы лезут через р2р-трекер и клиент в папку шары-хеша. Файлы заражаются во время сессии р2р-клиента, заражаются также файлы который приношу на компьютер с СД-дисков.
    Только перенес, даже ничего не открывал, как через час спайдер НТ доктора вэба сообщает о том что все *.ехе файлы в тех папках - заражены, ну которые находятся в расшашенной папке. Уже и не знаю как они заразились, он переноса, или от расшаривания р2р-клиентом.

    Антивир и файервол чуть ли не каждый день обновляю.
    Снес р2р-клиент. Почистил копм, удалил точки восстановления, удалил в ручную в фаре - корзину(ресайклер).. пару дней спокойствия.
    Потом установил другой р2р клиент с фтп (Флай-ДС), принес диск который не может быть по определению с вирусами. Запустил хэш в р2р - клиенте. И на тебе. Через час антивир заорал что все *.ехе файлы всеже расшареных папок - заражены вирусом. Абсолютно все. Пролечил. Через неделю та же самая песня, только вирус уже другой. Ну вот и как это понимать? Обьясните пожалуйста.
    Вируса то в ОС нету, в бут-секторе нету, в процессах и реестре - нету, в точках восстановления и корзине - нету. ТОесть его нет на компе. Но он лежит себе тихо в архивах либо я его постоянно получаю откуда-то, ждет своего времени. Говорите файервол? А что он дает? Всеравно Вы правило создаете для р2р-клиента, поэтому вирусы всеравно пролазят. Я не умею на столько серьезно настраивать файервол чтобы все дыры закрыть, да и невозможно их закрыть.
    Ну так кто мне обьяснит ситуацию с хешем когда р2р-клиент заражает сам заражает сам всю шару, будучи незаражаенным, или зараженным? Все найденные вирусы - неактивны, просто тихо лежат в архивах или программах. В ОС и прогах - вируса нет. Тут запускаешь р2р-клиент - и снова здравствуйте. ПРавда иногда и файлы доктора вэба оказываются заражены. Может это он заражает всё,а не р2р клиент?
    Обьясните пожалуйста что это.
    Люди из антивира и файервола говорят что мол я сам постоянно заражаюст через клиент р2р. Но я заражаюсь даже когда ничего не скачиваю длительное время.. Где логика?
    Обьясните плиз.
    В том то и дело что антивир его цапает стразу когда тот только активируется. НО всётаки то заражается он через р2р. Даже когда ничего не качаю. ПРосто запускаю р2р-клиент - и пошла старая песня о новом.

    P.S. Только что запустил RootKitHooker и он мне говорит что !!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
    Вложения Вложения
    Последний раз редактировалось g_oleksiy; 29.12.2007 в 15:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Значит не тем p2p пользуетесь
    Расшариваться должен только тот файл , который качаешь - тогда меньше шанс что заразишся. Это позволяет насколько знаю только чистая торент технология , и никак не dc в DC расшариваеться папка. А в папку можно что угодно засунуть, есть куча специализированных червей
    В логах особо интересного не заметил. Под ограниченным юзером надо сидеть, меньше пролезать будет.
    Последний раз редактировалось drongo; 29.12.2007 в 15:14.

  4. #3
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от drongo Посмотреть сообщение
    Значит не тем p2p пользуетесь
    Расшариваться должен только тот файл , который качаешь - тогда меньше шанс что заразишся. Это позволяет насколько знаю только чистая торент технология , и никак не dc
    В логах особо интересного не заметил. Под ограниченным юзером надо сидеть, меньше пролезать будет.
    P.S. Только что запустил RootKitHooker и он мне говорит что !!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

    Под ограниченным юзером надо сидеть, меньше пролезать будет.
    Как это реализовать?
    Спасибо за совет. Перейду на торенты.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    !!POSSIBLE ROOTKIT ACTIVITY DETECTED!!
    При наличии Аутпоста - ничуть не удивительно.
    RKU назвал какой-то конкретный файл или драйвер?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    При наличии Аутпоста - ничуть не удивительно.
    RKU назвал какой-то конкретный файл или драйвер?
    Да, стоит Аутпост Секюрити Суит Про 2008. Только вот сегодня в обед одновлял. Нет, просто выдал это сообщение, конкретно на файлы не указал.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от g_oleksiy Посмотреть сообщение
    Да, стоит Аутпост Секюрити Суит Про 2008. Только вот сегодня в обед одновлял. Нет, просто выдал это сообщение, конкретно на файлы не указал.
    это плохо, надо удалить и поставить обычный фаервол. в свите уже есть антивирус , а два антивуса в системе к хорошему не приведут.


    P.S. во второй части статьи я написал инструкцию: http://virusinfo.info/showpost.php?p=96895&postcount=1

  8. #7
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от drongo Посмотреть сообщение
    это плохо, надо удалить и поставить обычный фаервол. в свите уже есть антивирус , а два антивуса в системе к хорошему не приведут.


    P.S. во второй части статьи я написал инструкцию: http://virusinfo.info/showpost.php?p=96895&postcount=1
    За статью - спасибо. Почитаю на досуге.
    А аутпост при установке определил что уже доктор вэб стоит. И отключил "антивир+антишпион" модуль. Тоесть он действует только как файервол.

    P.S. Продолжаю безуспешно лечить файлы от Вин32.Алмана. За последний час - уже с 50 файлов вылечил. Одни и те же файлы. Хотя р2р-клиент давно выключен и тем более - ничего не качаю;-) Снова и снова заражаются одни и те же файлы. Откуда зло - так и не понял. Так не хочется переустанавливать систему, но и заражать тех, с кем работаю - тоже не хочется)
    Последний раз редактировалось g_oleksiy; 29.12.2007 в 15:39.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Из сети этот Алман пихают. Через сетевые шары. Поэтому разбирайтесь с вашей локальной сетью. Есть заражённая машина - ищите её.

  10. #9
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от pig Посмотреть сообщение
    Из сети этот Алман пихают. Через сетевые шары. Поэтому разбирайтесь с вашей локальной сетью. Есть заражённая машина - ищите её.
    В том то и дело что сеть то - peer-to-peer. И администрация сети - умывает руки. Мол у пользователей сами вирусы качаете. Но я то не качаю последнее время. Хотя р2р-клиент запускаю. Или вы имеете ввиду что р2р-трекер на сервере администрации - заражен? НУ на котором все списки файлов и шары каждого юзера хранятся.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    У вас какое подключение? Модем, ADSL, локальная сеть? Обычные сетевые шары имеются?

    Цитата Сообщение от g_oleksiy Посмотреть сообщение
    Продолжаю безуспешно лечить файлы от Вин32.Алмана. За последний час - уже с 50 файлов вылечил. Одни и те же файлы. Хотя р2р-клиент давно выключен и тем более - ничего не качаю;-)
    По симптомам - локальная сеть и открытая шара.

    Откройте свойства сетевого подключения и снимите там галочки с клиента для сетей Microsoft и службы доступа к файлам и принтерам. 99%, что заражения прекратятся.

  12. #11
    Junior Member Репутация
    Регистрация
    29.12.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от pig Посмотреть сообщение
    У вас какое подключение? Модем, ADSL, локальная сеть? Обычные сетевые шары имеются?


    По симптомам - локальная сеть и открытая шара.

    Откройте свойства сетевого подключения и снимите там галочки с клиента для сетей Microsoft и службы доступа к файлам и принтерам. 99%, что заражения прекратятся.
    Одни и те же файлы, одни и те же файлы. + новые которые запускал - уже тоже заражены Вин32.Алман"ом.

    По поводу сетей - ситуация следующая.
    Есть 4 комптьютера: 1 дескотоп и 3 ноутбука. Все они (четверо) подключение через HUB D-Link.

    Все ноутбуки - ЧИСТЫ и никакого Вин32.Алман"а там нет.

    На настольном Desktop"e - есть подключение в локальнной сети по сетевому кабелю "витой паре" в местному провайдеру.

    На настольном дэсктопе есть два локальных диска, которые открыты и расрашены для всех, так как я не знаю как запретить к ним доступ с одной сетевой карты, и закрыть с другой.

    К примеру: эти два диска я расшарил для доступа с ноутбуков своей домашней мини-сети. НО, я так понимаю, они ОСТАЮТСЯ открытыми-расшаренными и для СЕТИ провайдера. На других локальных дисках, которые закрыты для доступа для всех, что для других компов домашней сетки(в квартире) - сетевая карта 1 , что для сети ПРОВАЙДЕРА (сетевая карта 2) - ВИРУСОВ НЕТ.

    Я так понимаю что проблема состоим в том чтобы закрыть доступ к ним.
    Следственно в этом вопрос и состоит.

    Подскажите пожалуйста, или хотябы дайте ссылочку на то как это сделать, тоесть один и тот же диск - закрыть для доступа из СЕТИ ПРОВАЙДЕРА (сетевая карта 1), и открыть этот локальный диск для доступа из домашней сети в квартире (сетевая карта 2). Если это вообще возможно.

    Заранее благодарю за содержательный ответ.
    С уважением и наилучшими пожеланиями,
    А.

    Сделал так как Вы сказали со Свойствами сетевого подключения провайдера. Вирусы поступать перестали. Увидим что будет дальше, подожду с недельку. Спасибо ОГРОМНОЕ!

    Добавлено через 15 минут

    Спасибо всем огромное за потраченное время и хорошие ответы.
    Всех с Новым Годом.
    Счастья, добра, тепла, удачи в новом году.
    Пускай хорошее перейдет с вами в новый год, а плохое - останется в прошлом году.
    Успехов и удачи во всех начинаниях в новом году.
    С уважением и наилучшими пожеланиями в новом году,
    А.
    Последний раз редактировалось g_oleksiy; 30.12.2007 в 09:23. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от g_oleksiy Посмотреть сообщение
    Сделал так как Вы сказали со Свойствами сетевого подключения провайдера. Вирусы поступать перестали.
    Вот! Так и оставьте. Поскольку от этой локалки вам, кроме интернета, ничего не надо.

  • Уважаемый(ая) g_oleksiy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 13.09.2011, 22:01
    2. Ответов: 8
      Последнее сообщение: 08.09.2011, 21:35
    3. Ответов: 3
      Последнее сообщение: 06.09.2011, 16:50
    4. Ответов: 7
      Последнее сообщение: 01.09.2009, 13:22
    5. Не могу вычислить откуда идет запрос
      От Powl в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.04.2009, 18:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01549 seconds with 20 queries