Привет,
Третий день вылетает от Касперского сообщение: "Network attack Intrusion.Win.DCOM.exploit........was succesfully repelled" Outpost эти аттаки вообще не видит,i.p. при каждом подключении меняется,но аттаки продолжаются,сделал всё как описано у вас,потом подключился к интернету и опять пару раз вылетело сообщение,в прошлые разы я только и делал что видел это сообщение,а сейчас вроде-бы тихо.
Помогите пожалуйста.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
на анализ пришлите
D:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
D:\Windows\System32\wsaupdater.exe
D:\WINDOWS\System32\iakdhw.exe
D:\Program Files\WindowsSA\omniscient.exe
D:\Program Files\BullsEye Network\bin\bargains.exe
D:\Program Files\ProxyWay\proxyway.exe, если сами не ставили
d:\program files\windowssa\omniscient.exe
F:\ATR1.exe
Папку d:\program files\windowssa лучше даже целиком, потому как это, скорее всего, - ADWARE BLAZE
Последний раз редактировалось Minos; 08.10.2006 в 11:14.
Я удалил d:\program files\windowssa\WindowsSA\omniscienthook.dll - Adware.BlazeFind и d:\program files\windowssa\WindowsSA\omniscient.exe - Adware.BlazeFind (DrWeb) через AVZ.
Сейчас вылетело сообщене:
"Приложению не удалось запуститься,поскольку omniscienthook.dll не был найден.Повторная установка приложения может исправить эту проблему."
Ребята объясните пожалуйста как остальные файлы вытащить из AVZ,зайти в Infected или Карантин и нажать "Добавить в архив" или как?,если так то они потом просят пароль.
Последний раз редактировалось Stain; 07.10.2006 в 18:10.
Ребята объясните пожалуйста как остальные файлы вытащить из AVZ,зайти в Infected или Карантин и нажать "Добавить в архив" или как?,если так то они потом просят пароль.
Да, так, они и должны пароль просить.
Папку D:\Program Files\WindowsSA можно удалить целиком.
Лечим BackDoor.IRC.Elmer:
1. Закройте все программы.
2. Запустить AVZ.
3. Включите AVZGuard. (на всякий случай)
4. Удалить файл
D:\Windows\System32\wsaupdater.exe
через AVZ меню Файл->«Отложенное удаление». Скопируйте строку с именем файла в диалог «Отложенное удаление» и нажмите кнопку ОК.
5. Перезагрузите компьютер не выходя из AVZ.
В каком смысле,скачать с тех ссылок что вы дали и поставить?,если да то если можно объясните как именно это сделать или просто сделать Update Windows.
Просто обновиться через Windows Update
Я ставил сам и там просто пустая папка сейчас осталась,есть proxyway.exe что-бы заново проинсталлировать.
Нет, ставить не надо, можно пофиксить строку
O4 - HKCU\..\Run: [ProxyWay] D:\Program Files\ProxyWay\proxyway.exe
F:\ATR1.exe
Это CD Burner и диска в нем небыло...?
Однако ATR1.exe с этого диска сидит в автозагрузке, если диска такого нет, то смело можно пофиксить и строки
O4 - Startup: Product Registration.lnk = F:\ATR1.exe
O4 - Startup: Sid Registration.lnk = F:\ATR1.exe
Поскольку остальных файлов/папок проводником найти не удалось, то есть два варианта, либо их раньше удалил антивирус, оставив следы в реестре, либо они прячутся:
Попробуем найти файлы с помощью AVZ
1. Запустите AVZ
2. Включите AVZGuard
3. Попробуйте найти файлы
bargains.exe на диске в папке D:\Program Files
wsaupdater.exe, iakdhw.exe, ntuser.exe в папке D:\Windows
4. Если удасться, что нибудь найти, то шлите их на анализ, как присылали раньше другие файлы.
Выполнять ТОЛЬКО если не удалось найти НИ ОДИН файл указанным выше способом.
5. Если найти ничего не удасться, то пофиксите в Hijackthis следующие строки:
O4 - HKLM\..\Run: [BullsEye Network] D:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [nnfcaltvucup] D:\WINDOWS\System32\iakdhw.exe
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - D:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
После выполнения указанных действий перезагрузиться, сделать новые логи и прислать их нам, для проверки результатов лечения
Последний раз редактировалось Minos; 08.10.2006 в 13:08.
Искал так как вы сказали,нашёл только ntuser.exe,его сейчас пошлю вам.
Так-же искал в:"Поиск данных в реестре",он там всех их нашёл,если надо пришлю протоколы.
Последний раз редактировалось Stain; 08.10.2006 в 18:52.
живите спокойно - это Касперский сообщает о том, что кто-то пытается заразить ваш компьютер по сети. (т.е. тем же провайдером пользуется кто-то зараженный вирусом). если у вас стоят все сервис паки и другие обновления, то бояться нечего.
Да,но эта тварь жить не даёт,каждую секунду вылетает сообщение об этом и просто уж кто-то больно настойчивый,это уже 4-ый день почти без передыхов.
И вопрос обычно Outpost сообщает об аттаке,но сейчас молчит как партизан?
Спасибо за помощь
Да,но эта тварь жить не даёт,каждую секунду вылетает сообщение об этом и просто уж кто-то больно настойчивый,это уже 4-ый день почти без передыхов.
И вопрос обычно Outpost сообщает об аттаке,но сейчас молчит как партизан?
у Касперского в окне с предупреждением можно поставить галочку "Больше не предупреждать в текущем сеансе работы" (или как-то так).
молчание Аутпоста может быть объяснено разными причинами, например отсутствием атак или какой конфигурацией, когда он на это не реагирует
у Касперского в окне с предупреждением можно поставить галочку "Больше не предупреждать в текущем сеансе работы" (или как-то так).
Это я видел,спасибо,просто я часто переподключаюсь,что-бы менять i.p.,для скачивания с rapidshare и оно тут как тут.
А можно его отладить как-то от аттак на меня или провайдеру звонить?
Сейчас удалю,а остальные файлы что я в реестре нашёл:wsaupdater.exe, iakdhw.exe, ntuser.exe,bargains.exe,тоже?
Это я видел,спасибо,просто я часто переподключаюсь,что-бы менять i.p.,для скачивания с rapidshare и оно тут как тут.
А можно его отладить как-то от аттак на меня или провайдеру звонить?
рискну предположить - атаки начинаются тогда, когда подключаетесь на конкретного провайдера, а при работе с другим провайдером все нормально?
Сообщение от Stain
Сейчас удалю,а остальные файлы что я в реестре нашёл:wsaupdater.exe, iakdhw.exe, ntuser.exe,bargains.exe,тоже?
если их не найдено на диске, то и в реестре им делать нечего.
D:\WINDOWS\system\DRIVER\ntuser.exe зарегистрирован как служба, поэтому удаляем ее следующим образом:
1. Запускаем AVZ, выбираем Сервис/Диспетчер служб и драйверов
2. В появившемся окне находим по полю Файл службу трояна (D:\WINDOWS\system\DRIVER\ntuser.exe)
3. Выделяем ее и жмем кнопку "Остановить службу" (кнопка со значком паузы)
4. Затем кнопку удалить службу.
5. Перезагружаем компьютер.
6. Повторяем шаги 1 и 2 чтобы убедиться, что зверь удален из системы.
7. Если служба опять не появилась, то можно удалять сам файл с трояном D:\WINDOWS\system\DRIVER\ntuser.exe.
Чтобы избавиться от предупреждений об атаках закрываем 135 порт для этого:
1. В Outpost идем в меню Параметры/Системные...
2. В разделе "Глобальные правила и доступ к rawsocket" жмем кнопку Правила...
3. В появившемся окне кликаем по кнопке Добавить и создаем следубщее правило:
Где протокол: TCP
Где направление: Входящие
Где локальный порт: 135
Действие: Блокировать эти данные
Где протокол: TCP
Где направление: Входящие
Где локальный порт: 135
Действие: Блокировать эти данные
+ Игнорировать контроль компонентов
+ Пометить правило как Правило с высоким приоритетом
Далее. За 135 порт отвечает svchost.exe, поэтому прописываем и для него такое же правило.
P.S. Совсем забыл, для протокола UDP тоже прописать нужно (т.е. TCP+UDP).
MOCT
молчание Аутпоста может быть объяснено разными причинами, например отсутствием атак или какой конфигурацией, когда он на это не реагирует
реагирует, реагирует (RPC DCOM, так его определяет Outpost). Долго объяснять. Представь, что сначала первым сетевые пакеты получает KAV и отбрасывает, соответственно Outpost эти пакеты не получает, т.к. работа идет в обход драйвера ОР. Многое еще зависит и от самих настроек ОР, но это отдельная тема.
Minos
Чтобы избавиться от предупреждений об атаках закрываем 135 порт
Несколько поправлю. Чтобы избавиться от предупреждений об атаках - в Outpost открываем Детектор атак - Визуальные оповещения. закрываем 135 порт , ну нет, конечно же, порты так не закрываются. Порты закрываются сервисами/службами Винды. А это лишь прикрытие любого входящего сетевого трафика по этому порту. А порт как был открытым, так и будет. Убедиться можно, если выполнить netstat -an
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: