Модем что то качает со страшной силой - Безопасность - Страница 2

*helldomain* · 16.05.2003, 14:00

Net. Logicheskj wiwod ne veren. Eto stroka importow funkcij iz bibliotek. Ono importiruet LoadLibrary() i GetProcAddress() i slishkom malo ostalnih funkcij. Ni odnoi iz WSOCK32 ili WS2_32, chto pokaziwaet na dinamicheskuju zagruzku ili na to, chto fail sjat packerami ili code safe.

ArchiMage · 16.05.2003, 19:05

BigRoad
в msconfig посмотри все процессы которые не microsoft и убивай незнакомые(махимум их всегда можно там-же вкл. обратно)
k stati ty proboval ego iskat' cherez start->run->regedit->CTRL+F->system.exe ?

BigRoad · 17.05.2003, 00:52

Все ищется, все убивается легко, точно так же и восстанавливается. Поставил Нортона с последним абдейтом тот нашел этот system.exe, и в придачу internet.exe, убивает их десятками но они по прежнему востанавливаются. Да к стати в офисе одна тачка что в интернет лазает(а всего их две) поймала такую же хрень, вторая при попытке войти в интернет заболела такой же ерундой. Я психанул снес все нахер поставил XP(стоял W2K), подцепил ее к домену, после перезагрузки смотрю те же яйца в тот же профиль. Здается что по локалке эта хрень то же размножается при условие что тачки заходят в интернет, (у кого нет доступа, и проблем нет). Война продолжается, у кого есть мысли на этот счет пожалуйста не стесняйтесь их высказывать. Честно говоря я в отчаение, подумываю снести бы всю эту сеть нахрен да установить заново, но истина важнеею. SOS!!!!!!!!!!!!!!!!!!!

ArchiMage · 17.05.2003, 01:09

BigRoad
poprobuj na kazhdom kompe na seti:
1. otkluchi set' (provod)
2. zagruzis' pod "safe mode"
3. ubej process "system.exe" esli est'
4. skaniruj cherez NAV ALL files na kompe
5. ne vkluchaj komp v set' poka ne ochistish vse ostal'nye kompyutery na seti

u tebya skoree vsego chto-to pohozhee na eto :
link
voobshe posmotri tam bazu dannyh, chto nahodit norton?
posle togo kak vse sdelaesh kin' pozhalujsta syuda post kak i chto poluchilos'/ne poluchilos'

SinClaus · 20.05.2003, 14:09

Что-то у вас зело все сложно! Это winUpdate стучит мелкомягким и тянет оттуда апдейты. Решается просто - зайти в свойства сервиса Automatic Update и сказать "Disabled".

*helldomain* · 20.05.2003, 16:48

Znaesh, ono obichno wnizu okolo chasikow pokaziwaet, chto apdeiti tyanet...

ArchiMage · 20.05.2003, 19:58

SinClaus
na baze symantec est' ochen' bol'shoj spisok troyanov sozdayushih system.exe... ili i tam vse slozhno? pochitaj ee kak-to....

джах · 20.05.2003, 22:56

может эта зараза?

BigRoad · 22.05.2003, 18:39

Докладываю. Вопрос решился таким способом. Пришлось разорвать всю сеть повытаскивать все винты, на нормальной машине пройтись по ним Касперским, убить всю заразу в том числе и Rrundll.exe. (на серваке в том числе) .После этого закинуть Rundll.exe из дистрибутива. Сервак и все тачки чувствуют себя нормально, всем спасибо за помощь.

Vagus · 22.05.2003, 21:24

А что Касперский поймал? Серьёзное?

BigRoad · 23.05.2003, 05:45

Цитата:

А что Касперский поймал? Серьёзное?

В частности Rundll был заражен TrojanDownloader.Win32.Slime.b и DDoS.Win32.Resod а так же был обнаружен Trojan.PSW.MiniLD.b

Vagus · 23.05.2003, 09:43

Мда..С троянами вас!

*helldomain* · 23.05.2003, 18:10

Mdas, nashel s chem pozdrawit.

Vagus · 24.05.2003, 09:56

А что? Успел же поймать..А то так и сидел бы,с троянами..

*helldomain* · 25.05.2003, 14:28

Bednie troyanci. Ih poimali.

Vagus · 25.05.2003, 21:55

Отвечу просто - ГЫ

ArchiMage · 25.05.2003, 22:54

Vagus
ty tak ne otvechaj, u hella est' copyrights na eto sochetanie... eshe den'gi potrebuet

)) Gi

))

*helldomain* · 26.05.2003, 04:15

Interesnaya misl kstati ;-))). Nado poprobowat. $0.5 za odno upotreblenie slowa "Gi" na forume IMHO i glyadish, w skorom wremeni stanu millionerom - nazowem proekt GImho.Ws.

26.05.2003, 04:43

helldomain
гы гы - с меня ван доллар...

ArchiMage · 26.05.2003, 09:08

helldomain
насколько я помню ета мысль проскальзывала где-то

)), к тому-же сразу пираты появятса.... будут исп. анонимный прохы для исп. слов из ценника... а вот и он:

Gi-0.5$ (skidka

)) tol'ko dlya yuzerov gimho.ws )
Ugu-1.5$
Igik-2$
Xgiig-2.5$

po pol dollara za bukvu

), pravdo prijdetsa EULA pisat'...

)
надо будет так-же в правила написать: за исп. слов из ценника не по закону пожизненый бан через способы перечисленные в топе о летучих мышках

)
газ VX,нейтронная бомба посланная по емаил,напалм...

))

для исп. слов как демо надо будет писать:
Demo Gi

))

16.05.2003, 14:00	# 21
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Net. Logicheskj wiwod ne veren. Eto stroka importow funkcij iz bibliotek. Ono importiruet LoadLibrary() i GetProcAddress() i slishkom malo ostalnih funkcij. Ni odnoi iz WSOCK32 ili WS2_32, chto pokaziwaet na dinamicheskuju zagruzku ili na to, chto fail sjat packerami ili code safe. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

16.05.2003, 19:05	# 22
ArchiMage ::VIP:: Старик Похабыч Регистрация: 21.07.2002 Адрес: Колодец Сообщения: 718	BigRoad в msconfig посмотри все процессы которые не microsoft и убивай незнакомые(махимум их всегда можно там-же вкл. обратно) k stati ty proboval ego iskat' cherez start->run->regedit->CTRL+F->system.exe ? __________________ поручик Ржевский Последний раз редактировалось ArchiMage; 16.05.2003 в 19:31.

17.05.2003, 01:09	# 24
ArchiMage ::VIP:: Старик Похабыч Регистрация: 21.07.2002 Адрес: Колодец Сообщения: 718	BigRoad poprobuj na kazhdom kompe na seti: 1. otkluchi set' (provod) 2. zagruzis' pod "safe mode" 3. ubej process "system.exe" esli est' 4. skaniruj cherez NAV ALL files na kompe 5. ne vkluchaj komp v set' poka ne ochistish vse ostal'nye kompyutery na seti u tebya skoree vsego chto-to pohozhee na eto : link voobshe posmotri tam bazu dannyh, chto nahodit norton? posle togo kak vse sdelaesh kin' pozhalujsta syuda post kak i chto poluchilos'/ne poluchilos' __________________ поручик Ржевский

20.05.2003, 14:09	# 25
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 362	Что-то у вас зело все сложно! Это winUpdate стучит мелкомягким и тянет оттуда апдейты. Решается просто - зайти в свойства сервиса Automatic Update и сказать "Disabled". __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

20.05.2003, 19:58	# 27
ArchiMage ::VIP:: Старик Похабыч Регистрация: 21.07.2002 Адрес: Колодец Сообщения: 718	SinClaus na baze symantec est' ochen' bol'shoj spisok troyanov sozdayushih system.exe... ili i tam vse slozhno? pochitaj ee kak-to.... __________________ поручик Ржевский

17.05.2003, 00:52	# 23
BigRoad Banned Регистрация: 21.04.2002 Адрес: Russia,Ufa City Пол: Male Сообщения: 539	Все ищется, все убивается легко, точно так же и восстанавливается. Поставил Нортона с последним абдейтом тот нашел этот system.exe, и в придачу internet.exe, убивает их десятками но они по прежнему востанавливаются. Да к стати в офисе одна тачка что в интернет лазает(а всего их две) поймала такую же хрень, вторая при попытке войти в интернет заболела такой же ерундой. Я психанул снес все нахер поставил XP(стоял W2K), подцепил ее к домену, после перезагрузки смотрю те же яйца в тот же профиль. Здается что по локалке эта хрень то же размножается при условие что тачки заходят в интернет, (у кого нет доступа, и проблем нет). Война продолжается, у кого есть мысли на этот счет пожалуйста не стесняйтесь их высказывать. Честно говоря я в отчаение, подумываю снести бы всю эту сеть нахрен да установить заново, но истина важнеею. SOS!!!!!!!!!!!!!!!!!!!

20.05.2003, 16:48	# 26
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Znaesh, ono obichno wnizu okolo chasikow pokaziwaet, chto apdeiti tyanet... __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

20.05.2003, 22:56	# 28
джах ::VIP:: Регистрация: 17.05.2003 Сообщения: 248	может эта зараза?

22.05.2003, 18:39	# 29
BigRoad Banned Регистрация: 21.04.2002 Адрес: Russia,Ufa City Пол: Male Сообщения: 539	Докладываю. Вопрос решился таким способом. Пришлось разорвать всю сеть повытаскивать все винты, на нормальной машине пройтись по ним Касперским, убить всю заразу в том числе и Rrundll.exe. (на серваке в том числе) .После этого закинуть Rundll.exe из дистрибутива. Сервак и все тачки чувствуют себя нормально, всем спасибо за помощь.

22.05.2003, 21:24	# 30
Vagus Full Member Регистрация: 30.11.2002 Адрес: Баку Сообщения: 507	А что Касперский поймал? Серьёзное? __________________ Всё выше,выше и выше...

23.05.2003, 09:43	# 32
Vagus Full Member Регистрация: 30.11.2002 Адрес: Баку Сообщения: 507	Мда..С троянами вас! __________________ Всё выше,выше и выше...

23.05.2003, 18:10	# 33
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Mdas, nashel s chem pozdrawit. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

24.05.2003, 09:56	# 34
Vagus Full Member Регистрация: 30.11.2002 Адрес: Баку Сообщения: 507	А что? Успел же поймать..А то так и сидел бы,с троянами.. __________________ Всё выше,выше и выше...

25.05.2003, 14:28	# 35
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Bednie troyanci. Ih poimali. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

25.05.2003, 21:55	# 36
Vagus Full Member Регистрация: 30.11.2002 Адрес: Баку Сообщения: 507	Отвечу просто - ГЫ __________________ Всё выше,выше и выше...

25.05.2003, 22:54	# 37
ArchiMage ::VIP:: Старик Похабыч Регистрация: 21.07.2002 Адрес: Колодец Сообщения: 718	Vagus ty tak ne otvechaj, u hella est' copyrights na eto sochetanie... eshe den'gi potrebuet )) Gi )) __________________ поручик Ржевский

26.05.2003, 04:15	# 38
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Interesnaya misl kstati ;-))). Nado poprobowat. $0.5 za odno upotreblenie slowa "Gi" na forume IMHO i glyadish, w skorom wremeni stanu millionerom - nazowem proekt GImho.Ws. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

26.05.2003, 04:43	# 39
-=GIF=- Guest Сообщения: n/a	helldomain гы гы - с меня ван доллар...

26.05.2003, 09:08	# 40
ArchiMage ::VIP:: Старик Похабыч Регистрация: 21.07.2002 Адрес: Колодец Сообщения: 718	helldomain насколько я помню ета мысль проскальзывала где-то )), к тому-же сразу пираты появятса.... будут исп. анонимный прохы для исп. слов из ценника... а вот и он: Gi-0.5$ (skidka )) tol'ko dlya yuzerov gimho.ws ) Ugu-1.5$ Igik-2$ Xgiig-2.5$ po pol dollara za bukvu ), pravdo prijdetsa EULA pisat'...) надо будет так-же в правила написать: за исп. слов из ценника не по закону пожизненый бан через способы перечисленные в топе о летучих мышках) газ VX,нейтронная бомба посланная по емаил,напалм... )) для исп. слов как демо надо будет писать: Demo Gi )) __________________ поручик Ржевский Последний раз редактировалось ArchiMage; 26.05.2003 в 09:12.