Машина чиста, но постоянно откуда-то лезет Win32.Alman . Не могу понять откуда.
Установлено:
1. FlylinkDC++ (r307), раньше стоял Strong DC++ 2.03;
2. Doctor Web 4.44 . ПОследнее обновние 14:00 29.12.07
3. Outpost Security Suite Pro 2008 версия 6.0.2154.8211 ПОследнее обновние 14:00 29.12.07;
для приложения FlylinkDC++ (r307) - сформировано стандартное правило.
Опция "Разрешать этому приложению любое действие" - отключена, во избежание проникновение вирусов из сети через р2р-трекер.
За довольно короткое время, неделю-две, поймал два вируса. Win32.Alman
Win32.sector.28682
Поймал и продолжаю ловить. Из р2р. Уже и менял р2р-клиенты, и лечил компьютер, успешно. Удаляю клиент, - всё нормально. И не один день.Только установлю р2р-клиент - сразу вся разшаренная папка заражается. Все вирусы лезут через р2р-трекер и клиент в папку шары-хеша. Файлы заражаются во время сессии р2р-клиента, заражаются также файлы который приношу на компьютер с СД-дисков.
Только перенес, даже ничего не открывал, как через час спайдер НТ доктора вэба сообщает о том что все *.ехе файлы в тех папках - заражены, ну которые находятся в расшашенной папке. Уже и не знаю как они заразились, он переноса, или от расшаривания р2р-клиентом.
Антивир и файервол чуть ли не каждый день обновляю.
Снес р2р-клиент. Почистил копм, удалил точки восстановления, удалил в ручную в фаре - корзину(ресайклер).. пару дней спокойствия.
Потом установил другой р2р клиент с фтп (Флай-ДС), принес диск который не может быть по определению с вирусами. Запустил хэш в р2р - клиенте. И на тебе. Через час антивир заорал что все *.ехе файлы всеже расшареных папок - заражены вирусом. Абсолютно все. Пролечил. Через неделю та же самая песня, только вирус уже другой. Ну вот и как это понимать? Обьясните пожалуйста.
Вируса то в ОС нету, в бут-секторе нету, в процессах и реестре - нету, в точках восстановления и корзине - нету. ТОесть его нет на компе. Но он лежит себе тихо в архивах либо я его постоянно получаю откуда-то, ждет своего времени. Говорите файервол? А что он дает? Всеравно Вы правило создаете для р2р-клиента, поэтому вирусы всеравно пролазят. Я не умею на столько серьезно настраивать файервол чтобы все дыры закрыть, да и невозможно их закрыть.
Ну так кто мне обьяснит ситуацию с хешем когда р2р-клиент заражает сам заражает сам всю шару, будучи незаражаенным, или зараженным? Все найденные вирусы - неактивны, просто тихо лежат в архивах или программах. В ОС и прогах - вируса нет. Тут запускаешь р2р-клиент - и снова здравствуйте. ПРавда иногда и файлы доктора вэба оказываются заражены. Может это он заражает всё,а не р2р клиент?
Обьясните пожалуйста что это.
Люди из антивира и файервола говорят что мол я сам постоянно заражаюст через клиент р2р. Но я заражаюсь даже когда ничего не скачиваю длительное время.. Где логика?
Обьясните плиз.
В том то и дело что антивир его цапает стразу когда тот только активируется. НО всётаки то заражается он через р2р. Даже когда ничего не качаю. ПРосто запускаю р2р-клиент - и пошла старая песня о новом.
P.S. Только что запустил RootKitHooker и он мне говорит что !!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
Последний раз редактировалось g_oleksiy; 29.12.2007 в 15:10.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Значит не тем p2p пользуетесь
Расшариваться должен только тот файл , который качаешь - тогда меньше шанс что заразишся. Это позволяет насколько знаю только чистая торент технология , и никак не dc в DC расшариваеться папка. А в папку можно что угодно засунуть, есть куча специализированных червей
В логах особо интересного не заметил. Под ограниченным юзером надо сидеть, меньше пролезать будет.
Последний раз редактировалось drongo; 29.12.2007 в 15:14.
Значит не тем p2p пользуетесь
Расшариваться должен только тот файл , который качаешь - тогда меньше шанс что заразишся. Это позволяет насколько знаю только чистая торент технология , и никак не dc
В логах особо интересного не заметил. Под ограниченным юзером надо сидеть, меньше пролезать будет.
P.S. Только что запустил RootKitHooker и он мне говорит что !!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
Под ограниченным юзером надо сидеть, меньше пролезать будет.
Как это реализовать?
Спасибо за совет. Перейду на торенты.
За статью - спасибо. Почитаю на досуге.
А аутпост при установке определил что уже доктор вэб стоит. И отключил "антивир+антишпион" модуль. Тоесть он действует только как файервол.
P.S. Продолжаю безуспешно лечить файлы от Вин32.Алмана. За последний час - уже с 50 файлов вылечил. Одни и те же файлы. Хотя р2р-клиент давно выключен и тем более - ничего не качаю;-) Снова и снова заражаются одни и те же файлы. Откуда зло - так и не понял. Так не хочется переустанавливать систему, но и заражать тех, с кем работаю - тоже не хочется)
Последний раз редактировалось g_oleksiy; 29.12.2007 в 15:39.
Из сети этот Алман пихают. Через сетевые шары. Поэтому разбирайтесь с вашей локальной сетью. Есть заражённая машина - ищите её.
В том то и дело что сеть то - peer-to-peer. И администрация сети - умывает руки. Мол у пользователей сами вирусы качаете. Но я то не качаю последнее время. Хотя р2р-клиент запускаю. Или вы имеете ввиду что р2р-трекер на сервере администрации - заражен? НУ на котором все списки файлов и шары каждого юзера хранятся.
Продолжаю безуспешно лечить файлы от Вин32.Алмана. За последний час - уже с 50 файлов вылечил. Одни и те же файлы. Хотя р2р-клиент давно выключен и тем более - ничего не качаю;-)
По симптомам - локальная сеть и открытая шара.
Откройте свойства сетевого подключения и снимите там галочки с клиента для сетей Microsoft и службы доступа к файлам и принтерам. 99%, что заражения прекратятся.
Откройте свойства сетевого подключения и снимите там галочки с клиента для сетей Microsoft и службы доступа к файлам и принтерам. 99%, что заражения прекратятся.
Одни и те же файлы, одни и те же файлы. + новые которые запускал - уже тоже заражены Вин32.Алман"ом.
По поводу сетей - ситуация следующая.
Есть 4 комптьютера: 1 дескотоп и 3 ноутбука. Все они (четверо) подключение через HUB D-Link.
Все ноутбуки - ЧИСТЫ и никакого Вин32.Алман"а там нет.
На настольном Desktop"e - есть подключение в локальнной сети по сетевому кабелю "витой паре" в местному провайдеру.
На настольном дэсктопе есть два локальных диска, которые открыты и расрашены для всех, так как я не знаю как запретить к ним доступ с одной сетевой карты, и закрыть с другой.
К примеру: эти два диска я расшарил для доступа с ноутбуков своей домашней мини-сети. НО, я так понимаю, они ОСТАЮТСЯ открытыми-расшаренными и для СЕТИ провайдера. На других локальных дисках, которые закрыты для доступа для всех, что для других компов домашней сетки(в квартире) - сетевая карта 1 , что для сети ПРОВАЙДЕРА (сетевая карта 2) - ВИРУСОВ НЕТ.
Я так понимаю что проблема состоим в том чтобы закрыть доступ к ним.
Следственно в этом вопрос и состоит.
Подскажите пожалуйста, или хотябы дайте ссылочку на то как это сделать, тоесть один и тот же диск - закрыть для доступа из СЕТИ ПРОВАЙДЕРА (сетевая карта 1), и открыть этот локальный диск для доступа из домашней сети в квартире (сетевая карта 2). Если это вообще возможно.
Заранее благодарю за содержательный ответ.
С уважением и наилучшими пожеланиями,
А.
Сделал так как Вы сказали со Свойствами сетевого подключения провайдера. Вирусы поступать перестали. Увидим что будет дальше, подожду с недельку. Спасибо ОГРОМНОЕ!
Добавлено через 15 минут
Спасибо всем огромное за потраченное время и хорошие ответы.
Всех с Новым Годом.
Счастья, добра, тепла, удачи в новом году.
Пускай хорошее перейдет с вами в новый год, а плохое - останется в прошлом году.
Успехов и удачи во всех начинаниях в новом году.
С уважением и наилучшими пожеланиями в новом году,
А.
Последний раз редактировалось g_oleksiy; 30.12.2007 в 09:23.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: