вирус!!!!! [сообщение #27864] |
Птн, 10 Декабрь 2004 14:18 |
anonymous
|
|
От: Mamajon.tv.trg
|
|
уже который день выходит аткая фигня:
как от нее избавится?
я ее удаляю, она снова появляется
|
|
|
|
|
|
|
|
Re: вирус!!!!! [сообщение #28100 является ответом на сообщение #28081] |
Вск, 12 Декабрь 2004 13:37 |
|
я через дос удалил и все, больше не беспокоит,
кстати кады этот файл был, при проверка антивирусник находил дофига каких то файлов подозрительных, может это он?
|
|
|
|
|
Re: вирус!!!!! [сообщение #28278 является ответом на сообщение #27864] |
Пнд, 13 Декабрь 2004 00:00 |
anonymous
|
|
От: Derek.tv.trg
|
|
хм народ чёто за нездаровая канитель сёня обновил нод и он мне вот чё пишет
C:\WINDOWS\system32\ftpupd.exe - Win32/Korgo.Z worm (уже знакомый путь )
И вот два новых каторые я сёня лечил роланду
C:\WINDOWS\system32\kriokw.exe - Win32/Korgo.Z worm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GHQB4F45\x[1].exe - Win32/Korgo.Z worm
все черви одинаковые так что эти два путя ещё проверьте
|
|
|
Re: вирус!!!!! [сообщение #28281 является ответом на сообщение #27864] |
Пнд, 13 Декабрь 2004 01:11 |
g1ts
Сообщений: 20 Зарегистрирован: Май 2004
|
Новичок |
От: ns1.tvs.trg
|
|
Цитата: | C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GHQB4F45\x[1].exe - Win32/Korgo.Z worm
|
вот через ослика ващего бюбимого вы его и подцепили.
Just one of those deaf-mutes.
|
|
|
Re: вирус!!!!! [сообщение #28284 является ответом на сообщение #27864] |
Пнд, 13 Декабрь 2004 03:07 |
anonymous
|
|
От: VITOS.tv.trg
|
|
Названия у других антивирусов:
W32.Korgo.A-V (Symantec)
W32/Korgo.worm.gen (Mcafee)
Win32.Lsabot (DrWeb)
Worm.Win32.Padobot (AVP)
WORM_KORGO.A-V (Trend)
Описания:
KAV - http://www.viruslist.com/viruslist.html?id=145212392
NAV - на все разновидности.
http://securityresponse.symantec.com/avcenter/venc/data/w32. korgo.a.html
...
http://securityresponse.symantec.com/avcenter/venc/data/w32. korgo.v.html
Утилита удаления от Symantec:
http://securityresponse.symantec.com/avcenter/FixKorgo.exe
Утилита Mcafee Avert Stinger, она более универсальна:
http://download.nai.com/products/mcafee-avert/stinger.exe
Удаление:
Можно дрвебом, можно утилитами. Утилитами быстрее, дрвебом лучше, т.к. он удалит и другую пакость, ежели она имеется.
1. Обновить базы и сам антивирус при необходимости.
2. Отключить восстановление системы
3. перезагрузка в безопасный режим, проверка всех дисков
сканером в режиме "по формату". Найденное выбирать "Лечить", при
невозможности удалять.
4. Провериться еще и этим:
Ad-Aware:
http://www.lavasoftusa.com/
ftp://ftp.download.com/pub/win95/utilities/aaw6181.exe
Обновления базы сигнатур к ней:
http://updates.ls-servers.com/reflist.zip
SpybotSD:
http://www.safer-networking.org/index.php? page=download
hijackthis:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
5. Перезагрузиться в нормальный режим и включить восстановление
системы.
Для исключения заражения (а оно последует почти сразу же при подключении уязвимой машины к Интернету или зараженной локальной сети):
- Обязательно поставить файерволл (Agnitum Outpost) и заплатки (лучше все через Windows Update), в первую очередь эту:
http://www.microsoft.com/technet/security/bulletin/MS04-011. mspx
там выбрать нужную для Вашей версии Windows.
(это от дыры lsass, через которую проникает этот троян)
|
|
|
|
Re: вирус!!!!! [сообщение #28462 является ответом на сообщение #27864] |
Пнд, 13 Декабрь 2004 20:42 |
|
Кактус, а вот я еще своим "Антихакером" запретил любую активность приложению LSA shell, и проблемы прекратились ещё раньше совершения действий указанных у тебя и совершенных мной в точности... для перестраховки. Так вот может просто запретить, как я сделал с LSA, и проблем нет....А?
|
|
|
|
|
|
|
|
Re: вирус!!!!! [сообщение #28500 является ответом на сообщение #28496] |
Пнд, 13 Декабрь 2004 22:26 |
anonymous
|
|
От: kvv32.tvs-eth.trg
|
|
Derek писал(а) Пнд, 13 Декабря 2004 22:16 |
др вэб сосёт и все его 18 баз обновлений
|
согласен, в кривеньких ручках всё сосет
Цитата: | хм народ чёто за нездаровая канитель сёня обновил нод и он мне вот чё пишет
C:\WINDOWS\system32\ftpupd.exe - Win32/Korgo.Z worm (уже знакомый путь Smile )
И вот два новых каторые я сёня лечил роланду
C:\WINDOWS\system32\kriokw.exe - Win32/Korgo.Z worm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GHQB4F45\x[1].exe - Win32/Korgo.Z worm
все черви одинаковые так что эти два путя ещё проверьте
|
а это кто отсосал? не нод32 ли?
|
|
|
|
|
Re: вирус!!!!! [сообщение #28521 является ответом на сообщение #28515] |
Втр, 14 Декабрь 2004 00:35 |
anonymous
|
|
От: kvv32.tvs-eth.trg
|
|
Derek писал(а) Втр, 14 Декабря 2004 00:11 |
а нод то причём
|
откуда вирусов у тебя столько? и кто виноват?
|
|
|
|
|
|
|
|
Re: вирус!!!!! [сообщение #31103 является ответом на сообщение #28536] |
Вск, 26 Декабрь 2004 19:07 |
anonymous
|
|
От: kvv32.tvs-eth.trg
|
|
народ, ипы которых приведен ниже, а не провериться ли вам на вирусы?
172.21.25.129
172.21.25.59
172.21.35.17
172.21.45.153
172.21.45.159
172.21.45.168
172.21.45.212
172.21.45.67
172.21.45.76
172.21.45.87
172.21.55.26
172.21.55.52
172.21.65.23
172.21.65.243
172.21.65.5
172.21.75.106
172.21.75.16
172.21.75.172
172.21.75.187
172.21.75.2
|
|
|
Re: вирус!!!!! [сообщение #31125 является ответом на сообщение #31103] |
Вск, 26 Декабрь 2004 20:27 |
|
RN9AQZ писал(а) Вск, 26 Декабря 2004 19:07 | народ, ипы которых приведен ниже, а не провериться ли вам на вирусы?
172.21.25.129
172.21.25.59
172.21.35.17
172.21.45.153
172.21.45.159
172.21.45.168
172.21.45.212
172.21.45.67
172.21.45.76
172.21.45.87
172.21.55.26
172.21.55.52
172.21.65.23
172.21.65.243
172.21.65.5
172.21.75.106
172.21.75.16
172.21.75.172
172.21.75.187
172.21.75.2
|
посмотрел журнал тоже есть некотрые ипы и у меня
Best regards, Bizon
[Обновления: Вск, 26 Декабрь 2004 20:28] Известить модератора
|
|
|
Re: вирус!!!!! [сообщение #31128 является ответом на сообщение #31103] |
Вск, 26 Декабрь 2004 20:34 |
|
RN9AQZ писал(а) Вск, 26 Декабря 2004 19:07 | народ, ипы которых приведен ниже, а не провериться ли вам на вирусы?
172.21.25.129
172.21.25.59
172.21.35.17
172.21.45.153
172.21.45.159
172.21.45.168
172.21.45.212
172.21.45.67
172.21.45.76
172.21.45.87
172.21.55.26
172.21.55.52
172.21.65.23
172.21.65.243
172.21.65.5
172.21.75.106
172.21.75.16
172.21.75.172
172.21.75.187
172.21.75.2
|
Владимир случаем не 445 порт сканили?
Best regards, Bizon
|
|
|
"Randon": берегите ваш 445 порт! [сообщение #31130 является ответом на сообщение #27864] |
Вск, 26 Декабрь 2004 20:36 |
|
Обнаружена смесь червя и троянской программы
"Лаборатория Касперского", российский лидер в области разработки систем антивирусной безопасности, сообщает о регистрации случаев заражения новым сетевым червем "Randon". На данный момент компания уже получила несколько сообщений об инцидентах, связанных с данной вредоносной программой из России и Нидерландов.
"Randon" распространяется по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows 2000 и Windows XP. Для проникновения на компьютер он подключается к IRC-серверу (или локальной сети), сканирует находящихся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы "Randon" пересылает на нее троянскую программу "Apher", которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя (всего 13 файлов, в том числе полноценный mIRC-клиент - программа для работы с IRC-каналами). После этого "Randon" устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл и mIRC-клиента в ключе автозапуска системного реестра Windows и запускает их на выполнение.
Для сокрытия присутствия в памяти стороннего mIRC-клиента "Randon" использует специальную утилиту "HideWindows", которая также является одной из компонент червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс "Randon" можно обнаружить только в диспетчере задач Windows.
К счастью "Randon" не содержит каких-либо деструктивных функций. Его побочные эффекты - создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов. Для защиты от червя достаточно загрузить последние обновления антивирусной программы, установить персональный межсетевой экран Kaspersky® Anti-Hacker или пользоваться длинными паролями доступа на компьютер.
Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®. Более подробное описание червя "Randon" доступно в "Вирусной Энциклопедии Касперского.
Best regards, Bizon
|
|
|
|
|
|
|
|
|
Re: вирус!!!!! [сообщение #31157 является ответом на сообщение #31154] |
Вск, 26 Декабрь 2004 22:25 |
|
ILYA писал(а) Вск, 26 Декабря 2004 22:19 | я блин проверился вебом ни чё нет так почему я всписке
|
22:24:38 Сканирование портов 172.21.65.26 TCP (445)
22:23:51 Сканирование портов 172.21.65.149 TCP (445)
22:23:51 Сканирование портов 172.21.45.5 TCP (445)
20:31:09 Сканирование портов 172.21.45.112 TCP (445)
20:22:47 Сканирование портов 172.21.75.2 TCP (445)
20:18:17 Сканирование портов 172.21.45.11 TCP (445)
16:13:40 Сканирование портов 172.21.45.212 TCP (445)
16:12:31 Сканирование портов 172.21.45.88 TCP (445)
15:35:23 Сканирование портов 172.21.45.153 TCP (445)
15:32:56 Сканирование портов 172.21.45.186 TCP (445)
а у меня воот такая картина
Best regards, Bizon
|
|
|
|