Вы не авторизованы.

Добро пожаловать в Мегабит Клуб — Рубежное, Северодонецк, Лисичанск! Если это твой первый первый визит сюда, то прочитай, пожалуйста, Правила и Справку. Ты можешь зарегистрироваться и получить полный доступ к возможностям Форумов. Используй регистрационную форму чтобы зарегистрироваться или узнай больше о процессе регистрации. Зарегистрированные пользователи могут войти в Форумы тут.

UuuuuuuuuuuH

cs administrator

(41)

Сообщения: 301

Модификатор репутации: 7

  • Отправить личное сообщение

21

21.01.2009, 19:10

Применительно к нашему вопросу чтобы закрыть порт 445 придется остановить службу "Сервер" и "драйвер netbios".
Это очень радикальный и 100% метод позволяющий полностью избежать каких либо опасностей заражения через этот порт.
Но он имеет огромный минус, это влечет за собой отключение протокола "NetBios" и соответственно не будут работать программы для общения по локалке, VypressChat, Dmess и тому подобные.


не ну эт слишком радикально!!!! Установка пат4а от microsoft и норм KIS с базами - этого надеюсь хватит???


oath

Бывалый

(251)

  • "oath" забанен

Сообщения: 189

Модификатор репутации: 8

  • Отправить личное сообщение

22

21.01.2009, 19:22

До сих пор звук или сеть пропадает?

sum_loli

Oh Lawd Is Dat Some Loli?

(18,005)

Сообщения: 4,065

Модификатор репутации: 20

  • Отправить личное сообщение

23

21.01.2009, 20:17

Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны.

у нас на Южной как минимум полтора десятка машин заражено

странно. может все таки ето разные вири?

TRIGGER

Вождь

(117,191)

  • "TRIGGER" создал эту тему

Сообщения: 7,052

Модификатор репутации: 23

  • Отправить личное сообщение

24

21.01.2009, 20:22

не будут работать программы для общения по локалке, VypressChat, Dmess и тому подобные.


не ну эт слишком радикально!!!! Установка пат4а от microsoft и норм KIS с базами - этого надеюсь хватит???

Да, вполне, для простых пользователей в данный момент КИС наилучший выход, он совмещает в себе и антивирус и фаерволл, и судя по твоему скрину вполне успешно отражает атаки. Лично я люблю тонко настроенный вручную фаерволл, и поэтому использую связку KAV 2009 и OutpostFirewall 2009.
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

TRIGGER

Вождь

(117,191)

  • "TRIGGER" создал эту тему

Сообщения: 7,052

Модификатор репутации: 23

  • Отправить личное сообщение

25

21.01.2009, 20:25

Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны.

у нас на Южной как минимум полтора десятка машин заражено

странно. может все таки ето разные вири?

И как по твоему вирь должен определять страну? У нас ведь айпи локальные, ничего не значащие с точки зрения DNS.
Настройки языкового профиля тоже не помогут, украинцы почти все сидят под русским языком.
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

sum_loli

Oh Lawd Is Dat Some Loli?

(18,005)

Сообщения: 4,065

Модификатор репутации: 20

  • Отправить личное сообщение

26

21.01.2009, 20:32

он видит твои мысли
[hide]а как они могли скачать с украинской айпихой из инета? или им подлые русские принесли на флешке?[/hide]

TRIGGER

Вождь

(117,191)

  • "TRIGGER" создал эту тему

Сообщения: 7,052

Модификатор репутации: 23

  • Отправить личное сообщение

27

21.01.2009, 20:40

он видит твои мыслиindex.php?page=Attachment&attachmentID=9878
Несерьезный довод, даже у нас сейчас если я не ошибаюсь внешний айпи адрес определяется как Германия.
Отправил файл на VirusTotal, выбирай какое тебе название больше нравится.
TRIGGER прикрепил(а) это изображение:
  • kido.jpg
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

Mongol

Постоялец

(1,217)

  • "Mongol" забанен

Сообщения: 611

Модификатор репутации: 12

  • Отправить личное сообщение

28

27.01.2009, 20:57

Еще немного о Net-Worm.Win32.Kido

Паразит этот создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<....>}RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 порту, используя уязвимость в ОС Windows MS08-067(об этом уже было сказано выше)
Обращается к следующим сайтам (рекомендую настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Локальное удаление:


Скачайте архив KidoKiller_v2.zip
http://data2.kaspersky-labs.com:8080/spe…doKiller_v2.zip
и распакуйте его в отдельную папку на зараженной машине.
Mongol прикрепил(а) этот файл:
  • KidoKiller_v2.zip (109.38 kB. Количество загрузок: 57. Последняя загрузка: 28.07.2018, 19:41).

Сообщение редактировалось 1 раз(а), последний раз пользователем "Mongol" (27.01.2009, 21:02)


S.T.A.L.K.E.R

Гость

29

27.01.2009, 22:25

Ммм, а что дальше и что делать с выложенным тобой архивом?

Mongol

Постоялец

(1,217)

  • "Mongol" забанен

Сообщения: 611

Модификатор репутации: 12

  • Отправить личное сообщение

30

28.01.2009, 07:50

Отключить сеть, распаковать архив, запустить файл kidokiler.exe который проверит комп и грохнет вирус, если он есть, что тебе он и покажет...

Сообщение редактировалось 1 раз(а), последний раз пользователем "Mongol" (28.01.2009, 07:55)


Кроме тебя эту тему читают: 1

1 гостей.