58 ответов в теме

[SGray]

очередная загадка из разряда хайтек:
есть сервачок, который был сконфигурирован криворуким спецом ростовской конторы на букву "л", он нахватался всякой дряни, в том числе, как минимум, один rootkit.
под одним из пользователей велась активный брутфорс нескольких айпишников, рассылка спама и т.д. Первый раз я нарвался на настоящий "плацдарм хакера"
Короче, NOD32, естественно, говно, ничего не нашёл, всех пропустил, однако, ни cureit, ни kaspersky removal tool не могут найти "зловреда".
Симптоматика: практически не работает инет - пинг на айпишники проходит, на адреса - нет. казалось бы, все просто, и нужно только вручную вбить в адрес ДНС: 8.8.8.8, а вот хрен! не фурычит!

по мнению AVZ, 44 проблемы с winsock, исправление, сброс TCP/IP и winsock проблему, кроме того, он же подозревает подмену месторасположения smss.exe (этот процесс критический, и при н.у. его нельзя удалить. но не в моем случае - он спокойно останавливается, никак не сказываясь на работе ОС).
все подробности и необходимые файлы для решения загадки тут

Спрашивайте!

[Dimitry]

о чём? пора всех пользователей пересаживать под никсы... под виндой вирусы любые ограничения прав обходят...

ЗЫ почитал, не понял... ты проблему решил?

[Loki]

Короче, NOD32, естественно, говно, ничего не нашёл, всех пропустил,

не согласен! лучше NOD32 ничего нет! самое что не наесть говно - это касперский , drweb еще более или менее

[Dimitry]

ЗЫЫ Я, кстати, не живу на вирусинфо и пока регистрироваться там не было желания... это к вопросу, о необходимых файлах...

не согласен! лучше NOD32 ничего нет! самое что не наесть говно - это касперский , drweb еще более или менее

Возможно Локи, ты разочаруешься, но нет идеального антивируса... в связи с тем, что занимаюсь активно администрированием систем я ДрВебу уже с полсотни файлов слил, которые он не определял как вирус... но от этого, я от доктора веба не откажусь, т.к. на нём самая нормальная маржа...

[Санчо]

а можно на файлообменник логи и прочее
а то на форме не хочется регаться для скачивания
тоже бывает таких зловредов ловлю в конторе ж))

[markII]

симантек. удаляет все и даже что покажется

[SGray]

о чём? пора всех пользователей пересаживать под никсы... под виндой вирусы любые ограничения прав обходят...

это нереально.

ЗЫ почитал, не понял... ты проблему решил?

ещё нет
никуда нельзя зайти с помощью браузера, как будто, днс упал.

а можно на файлообменник логи и прочее

ща...





вот это смущает: C:\Users\admin\WINDOWS\system32\smss.exe
естественно, что там этого файла нет, как и каталога \system32

... кроме того: обращаю внимание на путь к драйверам: C:\Users\admin\WINDOWS\system32\drivers\acpi.sys

[Dimitry]

вот это смущает: C:\Users\admin\WINDOWS\system32\smss.exe
естественно, что там этого файла нет, как и каталога \system32

есть.... ты их просто не видишь.. грузись с лайфсиди, чисть автозагрузку, этот файл, темп и систему восстановления...

[Смысл]

апчем тема?

[Dimitry]

В винде сделали такую примочку (насчёт пользовательской не смотрел, а в серверах есть), как ограничение на просмотр файлов и папок.. вполне штатная шняга... вирусописатели дотумкали, как это повернуть в свою пользу...

апчем тема?

ап вирусах, в просторечье... компьютерных...

[SGray]

грузись с лайфсиди, чисть автозагрузку, этот файл, темп и систему восстановления...

нет ничего в автозагрузке, "этого" файла тоже нет.

[Санчо]

чета smss из юзердира пускается ?
C:\Users\admin\WINDOWS\system32\smss.exe
закинь на вирустотал
+в лабы касперу и дрвебу как подозрение на вирь

Изменено: Санчо, 18.07.2012 - 20:41

[=one=]

ап вирусах, в просторечье... компьютерных...

да ладно ,где вы их находите
это выдумали админы ,что б денех с юзеров поиметь

ЗЫ:Локи ,нод32 такое же г..но как и другие антивирусы

[Dimitry]

В винде сделали такую примочку

ABEUI.msi , если кому интересно... может конечно её и давно сделали, но столкнулся я с ней только сегодня... и тоже при анализе работы вируса...

нет ничего в автозагрузке, "этого" файла тоже нет.

из под чего смотрел?

закинь на вирустотал

он его найти не может....

[MadMax]

это нереально.


ещё нет
никуда нельзя зайти с помощью браузера, как будто, днс упал.


ща...





вот это смущает: C:\Users\admin\WINDOWS\system32\smss.exe
естественно, что там этого файла нет, как и каталога \system32

... кроме того: обращаю внимание на путь к драйверам: C:\Users\admin\WINDOWS\system32\drivers\acpi.sys

попробуй найти в реестре ветку которая ссылается на это путь, сохранить как рег файл и потом нафиг удалить из реестра. Reboot все покажет, что и где прячется.

Изменено: MadMax, 18.07.2012 - 20:51

[Borik]

симантек. удаляет все и даже что покажется

Я тож за нортон.

[Dimitry]

симантек. удаляет все и даже что покажется

я бы тоже сказал да, если бы не видел две недели назад удалённый вирусом симантек... но вообще, это не всегда удобно, если антивирус выдаёт до 50% ложных срабатываний...

[witacao]

очередная загадка из разряда хайтек:
есть сервачок, который был сконфигурирован криворуким спецом ростовской конторы на букву "л", он нахватался всякой дряни, в том числе, как минимум, один rootkit.
под одним из пользователей велась активный брутфорс нескольких айпишников, рассылка спама и т.д. Первый раз я нарвался на настоящий "плацдарм хакера"
Короче, NOD32, естественно, говно, ничего не нашёл, всех пропустил, однако, ни cureit, ни kaspersky removal tool не могут найти "зловреда".
Симптоматика: практически не работает инет - пинг на айпишники проходит, на адреса - нет. казалось бы, все просто, и нужно только вручную вбить в адрес ДНС: 8.8.8.8, а вот хрен! не фурычит!

по мнению AVZ, 44 проблемы с winsock, исправление, сброс TCP/IP и winsock проблему, кроме того, он же подозревает подмену месторасположения smss.exe (этот процесс критический, и при н.у. его нельзя удалить. но не в моем случае - он спокойно останавливается, никак не сказываясь на работе ОС).
все подробности и необходимые файлы для решения загадки тут

Спрашивайте!

А что трасировка показывает? При том же tracert www.ya.ru ? А если ipconfig /flushdns ?
P.S. Была похожая проблема на win2003, но там заведомо не было зоопарка - попробуй отключить сетевую, которая смотрит в локалку, снов асбросить настройки ТСР и попробовать пропиновать по адресу тот же www.google.com
Ну и да, надо шерстить либо с liveCd либо с Far'а файлы в каталоге винды и т.д.

[voodu191]

Ad-Aware Free попробуй это, он очень много находил

[Dimitry]

с Far'а

не видит... в упор не видит... только с LCD и желательно из под никсов... им глубоко пофиг на блокировки нтфс...

[witacao]

не видит... в упор не видит... только с LCD и желательно из под никсов... им глубоко пофиг на блокировки нтфс...

Возможно, с зоопарком на 2008 не доводилось ещё сношаться , на предыдущей линейке окон Far здорово выручал, когда не было возможности уйти в перезагрузку для LiveCD.
Хотя и на 2008 можно попробовать, предварительно поигравшись с cacls(icacls), хотя проще с LiveCd, конечно :-)

Изменено: witacao, 18.07.2012 - 21:19

[Dimitry]

я вот прямо читаю и вижу то, что было пару дней назад... висел скрытый ехе по тупейшему, в автозагрузке (в папке автозагрузка)... а я тоже танцевал с winsockсами и avz... чисто случайно заглянул из под lcd в автозапуск...

[helionix]

о чём? пора всех пользователей пересаживать под никсы... под виндой вирусы любые ограничения прав обходят...
ЗЫ почитал, не понял... ты проблему решил?

лолшто? Ограничения прав обходят? Я вас политиками под обыкновенного пользователя так запакую, что любой selinux вместе с apparmor обоссытся от зависти. При очень грамотной настройке винду можно пробить только эксплуатацией уязвимости в системе или в ПО которое выполняется с привилегиями. Но это же будет работать и на никсах, если у вас будет стоят старый апач - вас без проблем пробьют, если еще и ядро у вас старше 2.6.39 то и рута у вас получить с полпинка(mempodipper вам в помощь). Это все конечно примерно, но при всем моем уважении к никсам(я действительно их уважаю, сам не раз собирал gentoo и работал много с другими) - винда не хуже в плане безопасности.

не согласен! лучше NOD32 ничего нет! самое что не наесть говно - это касперский , drweb еще более или менее

гм... NOD32 к сожалению очень плохо настраивается, и что немаловажно иногда он игнорирует свои же настройки. На моей прошлой работе рассыпался отказоустойчивый кластер из-за того что эта сволочь(кстати как и BitDefender) меняла права на файлы виртуальных машин в общем хранилище кластера.

я вот прямо читаю и вижу то, что было пару дней назад... висел скрытый ехе по тупейшему, в автозагрузке (в папке автозагрузка)... а я тоже танцевал с winsockсами и avz... чисто случайно заглянул из под lcd в автозапуск...

А пробовали посмотреть из системы, только не системными утилитами, а чем нибудь сторонним. Например те же SysInternals Suite от Руссиновича

[Dimitry]

А пробовали посмотреть из системы, только не системными утилитами, а чем нибудь сторонним. Например те же SysInternals Suite от Руссиновича

из этого набора использую только процессэксплорер... а в остальном всё по-старинке... ручками, ручками... куда уж мне права пользователя настраивать... аглицкого и то не знаю... ...

ЗЫ если я в каждой фирме буду настраивать драконовские политики безопасности, мне не то что часто приходить к ним надо будет - мне жить придётся на работе... причём у всех клиентов сразу... а насчёт того, чтобы из заражённой системы пытаться выбить вирус не через лсд забывайте потихоньку... все утилиты, что работают в системе под окнами можно обойти, а если ситема уже заражена, то и тупо не давать себя обнаружить...

[helionix]

из этого набора использую только процессэксплорер... а в остальном всё по-старинке... ручками, ручками... куда уж мне права пользователя настраивать... аглицкого и то не знаю... ...

ЗЫ если я в каждой фирме буду настраивать драконовские политики безопасности, мне не то что часто приходить к ним надо будет - мне жить придётся на работе... причём у всех клиентов сразу... а насчёт того, чтобы из заражённой системы пытаться выбить вирус не через лсд забывайте потихоньку... все утилиты, что работают в системе под окнами можно обойти, а если ситема уже заражена, то и тупо не давать себя обнаружить...

Вы зря так, если вы серьезно конечно. Это я по поводу утилит от Руссиновича, там хорошая пачка. Я использую наиболее часто psexplorer, psmon, autoruns. Все остальное редко(я честно говоря не очень крут как админ, только в начале карьеры так сказать).

У меня к счастью "на попечении" одна фирма, и я со временем там все это реализую(работаю я тут недавно ).

Но на счет вирусов я с вами согласен ровно на половину. Большинство "популярных" вирусов это всяческие locker`ы или занимающиеся подменой dns(hosts файл). К сожалению я еще не встречал таких которые портили бы систему или разрушали tcp стек(их не выгодно писать, выгоднее писать латентные malware которые можно использовать для кражи информации/создания ботнетов и т.п.).
Однако, в том, что нет антивируса который нельзя обойти - вы правы. Без сомнения современные образчики полиморфных червей, трянов, руткитов и прочего malware легко обходят антивирусы(это очень хорошо показала история с flame, duqu, stuxnet). Именно поэтому я для себя выбрал Microsft Security Essentials как бесплатный, быстрый антивирус.