Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Wild_Lynx
|
Добавлено: 15-02-07 20:42 Заголовок сообщения: Взломали однако |
|
|
Вчера вечером понадобилось отключить файрвол. К сожалению, после того как надобность пропала, включить его я забыл.
Напоминание пришло буквально минут через 10-20 в виде упавшего svchost.exe
Мораль ситуации дошла до меня сразу и я тут же выключил модем и приступил к проверке системы. Результаты не заставили себя ждать.
Часть лога AdAware (Кстати рекомендую)
WIN32.TROJANDOWNLOADER.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[15]=Process : G:\Program Files\Ipwindows\ipwins.exe
obj[20]=RegValue : Software\Microsoft\Windows\CurrentVersion\Run "IpWins"
obj[22]=Regkey : software\microsoft\windows\currentversion\uninstall\ipwins
obj[23]=RegValue : software\microsoft\windows\currentversion\uninstall\ipwins "UninstallString"
obj[24]=Folder : G:\Program Files\Ipwindows
obj[27]=File : g:\program files\ipwindows\ipwins.exe
ADWARE.MYTOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[16]=Regkey : typelib\{569304ba-83ed-4cff-ac26-be3e482f7208}
obj[17]=Regkey : interface\{c6f2214e-0b54-45a9-b90d-7dd4ba45ed0b}
SOFTOMATE TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[18]=Regkey : clsid\{c1b4dec2-2623-438e-9ca2-c9043ab28508}
obj[19]=Regkey : software\microsoft\windows\currentversion\explorer\browser helper objects\{c1b4dec2-2623-438e-9ca2-c9043ab28508}
obj[21]=RegValue : software\microsoft\internet explorer\toolbar "{c1b4dec2-2623-438e-9ca2-c9043ab28508}"
obj[25]=Regkey : toolbar.toolbarobj
obj[26]=Regkey : toolbar.toolbarobj.1
obj[28]=File : G:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\U5SXUZ69\122[1].net
obj[29]=File : G:\WINNT\Temp\b122.exe
DrWeb тоже пару файлов нашел, короче было весело до 2x часов ночи
Дело кончилось тем, что я навсегда зарёкся отключать файрвол при поднятом линке хоть на секунду и тотальной сменой паролей.
Интересно, как можно за такое короткое время вычислить уязвимую систему (win2KSP4) и взломать её?
Хорошо ещё, что у меня скорость ADSL урезана до минимума ради стабильности, так что в качестве прокси я клиент не перспективный.
Если кто нибудь знаком с вышеупомянутыми троянами, я буду благодарен за совет, где поискать ip их хозяина.
Писать письма в поддержку или звонить 050 я не стал, так как на письма они уже давно не отвечают и трубку берут через полчаса дозвона.
Мораль, а какова мораль? Мораль проста: делайте из компа – крепость и не надейтесь на ВСИ – им ваша оплата за лишние GB, скачанные через Вас хакерами только на руку. |
|
Сообщения: 91
|
|
|
-=[Ариец]=-
|
Добавлено: 15-02-07 21:12 Заголовок сообщения: |
|
|
Что тут сказать - ты просто неудачнег.
Эти трояны у тебя сидели давно и им мешал твой фаервол.
ЗА такой короткий срок НИКАК нельзя вычислить машину на уязвимость и понаделать столько пакостей. |
|
Сообщения: 286
|
|
|
Mikes
|
Добавлено: 15-02-07 21:28 Заголовок сообщения: |
|
|
почему ВСИ должен обеспечивать тебе безопасность?
может ещё и добро из торрента на болванках домой приносить?
сначала настрой свой комп а потом уже в инет выходи.. |
|
Сообщения: 26
|
|
|
cardinal
|
Добавлено: 15-02-07 21:32 Заголовок сообщения: |
|
|
Wild_Lynx Панику здесь не разводи,да?
Во первых, непонятно что ты имел ввиду под "упавшим svchost.exe". Могу только редположить что твой компьютер подвергся заражению одной из разновидностей вируса W32.Blaster.Worm
А во вторых, ты рано обрадовался,судя по приведённым логам ты его так и не удалил. |
|
Сообщения: 854
|
|
|
Wild_Lynx
|
Добавлено: 15-02-07 22:03 Заголовок сообщения: |
|
|
-=[Ариец]=- писал(а): | Что тут сказать - ты просто неудачнег.
Эти трояны у тебя сидели давно и им мешал твой фаервол.
ЗА такой короткий срок НИКАК нельзя вычислить машину на уязвимость и понаделать столько пакостей. |
Вообще-то я проверяюсь и обновляю Ad-Aware ЕЖЕДНЕВНО.
И что ж он их раньше не видел?
И список процессов и сокетов в системе (TCPView)- тоже смотрю часто.
За неудачника - спасибо! Надеюсь что на всякого Арийца найдётся партизан с берданкой |
|
Сообщения: 91
|
|
|
Wild_Lynx
|
Добавлено: 15-02-07 22:14 Заголовок сообщения: |
|
|
cardinal писал(а): | Wild_Lynx Панику здесь не разводи,да?
Во первых, непонятно что ты имел ввиду под "упавшим svchost.exe". Могу только редположить что твой компьютер подвергся заражению одной из разновидностей вируса W32.Blaster.Worm
А во вторых, ты рано обрадовался,судя по приведённым логам ты его так и не удалил. |
Обожаю панику!
svchost.exe просто упал с сообщением об ошибке в нём.
Drweb с последними адейтами blaster-f не видит? Вроде появился он весьма давно. Да и симптомы не похожи. |
|
Сообщения: 91
|
|
|
Wild_Lynx
|
Добавлено: 15-02-07 22:19 Заголовок сообщения: |
|
|
Mikes писал(а): | почему ВСИ должен обеспечивать тебе безопасность?
может ещё и добро из торрента на болванках домой приносить?
сначала настрой свой комп а потом уже в инет выходи.. |
Спасибо! И вам того-же!
Далее по пунктам:
- ВСИ могло бы хоть суппорт иметь поотзывчивей - не в этом случае так в других.
- Торрентом я пользуюсь крайне редко - в отличи от тех пылесосов, котрые всё своим траффиком забили
- А в интерненте я сижу уже много лет, наверно поэтому давно научился вежливости в отличии от некоторых. |
|
Сообщения: 91
|
|
|
Oleg
|
Добавлено: 15-02-07 22:45 Заголовок сообщения: |
|
|
Wild_Lynx писал(а): |
svchost.exe просто упал с сообщением об ошибке в нём.
|
Нужно не только иметь файрвол и антивирус, а еще и патчи на ОС ставить регулярно, тогда и проблем будет гораздо меньше. Патч для этой уязвимости был выпущен MS еще в 2003 году.
Wild_Lynx писал(а): |
- ВСИ могло бы хоть суппорт иметь поотзывчивей - не в этом случае так в других.
|
"Ложки нашлись, а осадочек-то остался" |
|
Сообщения: 1329
|
|
|
cardinal
|
Добавлено: 15-02-07 23:06 Заголовок сообщения: |
|
|
Wild_Lynx писал(а): | svchost.exe просто упал с сообщением об ошибке в нём. |
Типа такого?
Wild_Lynx писал(а): | Drweb с последними адейтами blaster-f не видит? Вроде появился он весьма давно. Да и симптомы не похожи. |
С тех пор как он первый раз появился было создано много его модификаций: blaster-a, потом blaster-b,-с,-f........ может ещё какието,хз.....
И не знаю насчёт Drweb,но я лично однажды пробовал искать этот вирус утилитой от Symantec - она его не видела.Так что даже не знаю как его удалять и возможно ли это вообще...... Проще вовремя позаботится о том чтобы не допустить заражения компьютера,а не проводить экспериментов типа твоего! |
|
Сообщения: 854
|
|
|
Wild_Lynx
|
Добавлено: 15-02-07 23:51 Заголовок сообщения: |
|
|
cardinal писал(а): | Wild_Lynx писал(а): | svchost.exe просто упал с сообщением об ошибке в нём. |
Типа такого?
С тех пор как он первый раз появился было создано много его модификаций: blaster-a, потом blaster-b,-с,-f........ может ещё какието,хз.....
И не знаю насчёт Drweb,но я лично однажды пробовал искать этот вирус утилитой от Symantec - она его не видела.Так что даже не знаю как его удалять и возможно ли это вообще...... Проще вовремя позаботится о том чтобы не допустить заражения компьютера,а не проводить экспериментов типа твоего! |
Ух сколько окошек У меня просто свалился с еррорм как любое win приложение падает.
Я сейчас отслеживаю через TCPView - вроде лишних сокетов нет.
------------------- Внешняя ссылка --------
http://www.sysinternals.com
-------------------------------------------------
там много ещё чего вкусного.
Я где-то у M$ удалялку видел - но сейчас найти не смог.
Может кто отдельный детектор видел для него? |
|
Сообщения: 91
|
|
|
Wild_Lynx
|
Добавлено: 15-02-07 23:55 Заголовок сообщения: |
|
|
Цитата: | "Ложки нашлись, а осадочек-то остался" |
Просто суппорт на письма как то не отвечает
Как письма пишутся в суппорт я знаю - по тем временам когда они отвечали через 20мин после отправки письма |
|
Сообщения: 91
|
|
|
|