Какаято новая сетевая зараза ?
- Автор темы o_nix
- Дата начала
- Статус
xammett
Создатель
- Регистрация
- 6 Дек 2009
- Сообщения
- 11
- Реакции
- 0
Попробуй бесплатную утилиту доктора веба.лечит от актуальной дряни.
Для просмотра ссылки Войдиили Зарегистрируйся
p.s. закинь файл который ломиться в сеть на
Для просмотра ссылки Войдиили Зарегистрируйся
просканит нескаолькими десятками антивирей
p.s 2 насчёт образа может ты делал образ только одного раздела,а на других зараза осталась или просто уже была в образе.уточняй конкретнее...
Для просмотра ссылки Войди
p.s. закинь файл который ломиться в сеть на
Для просмотра ссылки Войди
просканит нескаолькими десятками антивирей
p.s 2 насчёт образа может ты делал образ только одного раздела,а на других зараза осталась или просто уже была в образе.уточняй конкретнее...
o_nix
Хранитель порядка
- Регистрация
- 7 Ноя 2007
- Сообщения
- 1.070
- Реакции
- 1.063
- Автор темы
- #4
в томто всё и дело что никуя даже представления никакого неимею что это и откуда ...
Похоже на брут сети тк ip постоянно меняются.. но пля почему с внешнего ip .. у меня айпишник внутрисетевой 10.х.х.х всю эту хрень должен был nat обрубить. Если выдернуть шнур сети то активность прекращается те вроде всётаки вторжение из вне.
Если считать что это новый вирь засел на компе который дурит outpost - пакеты то типа входящие ... то каким образом он выжил после восстановления образа диска? в системе ещё 3 логических диска неужта както на них засел ... получается влез в область несистемного диска автоматом запускаемую самой незаражонной виндой
невидел такого раньше. Причём эта сетевая активность появляется сразуже после запуска винды... никаких действий делать ненадо такчто вариант автозагрузки с какого либа диска отпадает...Процесс который ломится в сеть неизвестен это и оутпост говорит ....
В системе nod32 и Outpost - оба свежие ... их базы обновляются ежедневно и всегда актуальны в общем даже незнаю что думать.
Шейла
Постоялец
- Регистрация
- 12 Май 2008
- Сообщения
- 564
- Реакции
- 158
netstat -ab
покажет файл который инициировал сетевую активнасть
и куда на какой порт лезет
а на остальных дисках autorun-a случаем не наблюдаеться или на флеш накопителе
радом с тобой другой сети случаем нет, такая сеть чтоб была за твоим же натом но другая.
т.к.
inetnum: 172.16.0.0 - 172.31.255.255
descr: Class B address space for private internets это тоже самое что и 10.х.х.х тоесть частные адреса
покажет файл который инициировал сетевую активнасть
и куда на какой порт лезет
а на остальных дисках autorun-a случаем не наблюдаеться или на флеш накопителе
радом с тобой другой сети случаем нет, такая сеть чтоб была за твоим же натом но другая.
т.к.
inetnum: 172.16.0.0 - 172.31.255.255
descr: Class B address space for private internets это тоже самое что и 10.х.х.х тоесть частные адреса
o_nix
Хранитель порядка
- Регистрация
- 7 Ноя 2007
- Сообщения
- 1.070
- Реакции
- 1.063
- Автор темы
- #6
netstat -ab и вся прочая лабуда и весь софт конечноже НЕпомогает
яже говорю это Входящие пакеты "Направление(In)" при этом винда даже теоретически неможет знать что стало инициатором.
По поводу whois
Вроде и близко никакого отношения к моему провайдеру неимеет ... (Спарк RND)
Может это общепринятые зарезервированные ip для внутренней сети и они могут быть у любого провайдера ?? тоесть все абоненты имеют одновременно и 10.х.х.х и 172.23.х.х ...
Тогда единственное подозрение Kido (по поведению очень похож) заразил почти всю подсеть 172.23.241.х
autorun - действует только при вставке диска или при заходе на диск через проводник... те обязательно нужно какоето действие со стороны пользователя ... которое я неделаю а сетевая активность всёравно есть. такчто этот вариант отпадает сразу.
яже говорю это Входящие пакеты "Направление(In)" при этом винда даже теоретически неможет знать что стало инициатором.
По поводу whois
Вроде и близко никакого отношения к моему провайдеру неимеет ... (Спарк RND)
Может это общепринятые зарезервированные ip для внутренней сети и они могут быть у любого провайдера ?? тоесть все абоненты имеют одновременно и 10.х.х.х и 172.23.х.х ...
Тогда единственное подозрение Kido (по поведению очень похож) заразил почти всю подсеть 172.23.241.х
autorun - действует только при вставке диска или при заходе на диск через проводник... те обязательно нужно какоето действие со стороны пользователя ... которое я неделаю а сетевая активность всёравно есть. такчто этот вариант отпадает сразу.
zerg
Мой дом здесь!
- Регистрация
- 5 Май 2006
- Сообщения
- 266
- Реакции
- 424
Как выжил после восстановления? чудес не бывает))
Любые данные за любой период могут быть заражены.
Кто мешал посидеть неделю другую изучить твою файловую систему и протроянить бекапы? или файлы которые ты при любом раскладе поднимешь будешь юзать? (закладки, любимая песня, квм ключи\сертификаты и т.д.)
при желании\терпении можно подождать пока будешь писать диски и за мгновение до записи диска сделать себе вечный бекдор?
если трой писался на заказ то палится он не будет.
Мне подобный инцедент обошелся всего 60 баксов и заставил перейти на линукс\юзать всегда и везде виртуалки.
Ни нод\каспер\авз\авптул, ни файрвол и даже линукс не гарантия того что не подцепишь троя. Только параноя спасет мир))
P/S/ есть много техник скрытия данных Hidden Threat: Alternate Data Streams на файловой системе нтфс и еще пара трюков.
Любые данные за любой период могут быть заражены.
Кто мешал посидеть неделю другую изучить твою файловую систему и протроянить бекапы? или файлы которые ты при любом раскладе поднимешь будешь юзать? (закладки, любимая песня, квм ключи\сертификаты и т.д.)
при желании\терпении можно подождать пока будешь писать диски и за мгновение до записи диска сделать себе вечный бекдор?
если трой писался на заказ то палится он не будет.
Мне подобный инцедент обошелся всего 60 баксов и заставил перейти на линукс\юзать всегда и везде виртуалки.
Ни нод\каспер\авз\авптул, ни файрвол и даже линукс не гарантия того что не подцепишь троя. Только параноя спасет мир))
P/S/ есть много техник скрытия данных Hidden Threat: Alternate Data Streams на файловой системе нтфс и еще пара трюков.
o_nix
Хранитель порядка
- Регистрация
- 7 Ноя 2007
- Сообщения
- 1.070
- Реакции
- 1.063
- Автор темы
- #8
У меня образы системы под паролем ... их нетак просто изменить 
да и найти их на винте та ещё задачка ... они куй знает где
единственный способ на 99.999% защитить комп от вирей это утопить его в бассейне наполненном бетоном такчто паранойя тут непричём
факт есть факт меня щас активно ломают с ~50 разных компов в сек ... фаер пока держет .. но тормоза системы заметны ...
жесть в общем...
да и найти их на винте та ещё задачка ... они куй знает где
единственный способ на 99.999% защитить комп от вирей это утопить его в бассейне наполненном бетоном такчто паранойя тут непричём
факт есть факт меня щас активно ломают с ~50 разных компов в сек ... фаер пока держет .. но тормоза системы заметны ...
жесть в общем...
- Статус