Red Rodgers  

Вернуться   Red Rodgers > Запасная полоса > Матчасть

Ответ
 
Опции темы Опции просмотра
Старый 13-12-2007, 11:24   #21
RR_BeGG
Flying Officer
 
Аватар для RR_BeGG
 
Регистрация: Jul 2006
Адрес: Севастополь - город-герой!
Сообщений: 1,440
Цитата:
Сообщение от RR_Flash Посмотреть сообщение
Видел как-то на одном компе такое. НОД не видел, а Каспер 6 выловил троянчега. Базы были актуальные. Сделал выводы, снес НОД
видел картинку с точностью до наоборот
зы У нас в сетке очень много народу страдало от этого svchost. Раньше проблема решалась просто, обновляешь НОД и все ок. Но де-то раз в месяц появлялось новое версия svchost-а которая не определялась НОДом. Потом выходили очередные базы обновления и опять все было ОК.
ззы: у мну было похожее проблема, антивирус ниче не находил, а была постоянная активность. тока у мну в сеть ломился ctfmon.exe Перепробовал все что мог, спасся переустановкой После переустановки решил дать винде обновиццо. Она накачала туеву хучу обновлений. После этого никаких залетов не наблюдаеццо. Тьху 3 раза
RR_BeGG вне форума   Ответить с цитированием
Старый 13-12-2007, 17:27   #22
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Вчера скачались какие-то обновления... Будем посмотреть.
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 13-12-2007, 23:10   #23
RR_Mirage
Нет меня, нету…©
 
Аватар для RR_Mirage
 
Регистрация: Jan 2005
Адрес: Недалеко от Альфы Кентавра
Сообщений: 2,241
А как вы винду обновляете, интересно... Или у всех лицензио?
__________________


Смерть достаточно близка, чтобы можно было не страшиться жизни.
Ф. Нитцше


Flash before my eyes, Now I gonna die...
(c) Ride the Lightning, Metallica /Mirage's coveRR/


War, war never changes. Or does it? The war has changed. Did it? The answer is no. Unless it is yes… No, of course it is. It’s war. Yes. No. Yes? (c) Duty Calls
RR_Mirage вне форума   Ответить с цитированием
Старый 13-12-2007, 23:21   #24
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Типа корпоративная лицуха

Кстати, поиск в реестре по слову firsttrue.hk ничего не дал, поиск в файлах - тоже... Где эта зараза сидит??? Обновления вчера поставил - все равно долбит гнида...
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!

Последний раз редактировалось Orion33; 13-12-2007 в 23:39.
Orion33 вне форума   Ответить с цитированием
Старый 14-12-2007, 09:49   #25
RR_Don
LeR19_Flink HS_Urufu
 
Аватар для RR_Don
 
Регистрация: Jun 2005
Адрес: Тюмень
Сообщений: 487
у меня пиратка обновляеца без проблем, даже ие7 и медиаплеер 11 ) ус тановил файлик скачанный с локалки и теперь могу обновляцца прямо с сайта майкрософт, виндоус определяется как подлинная
__________________
"Посмотрим ещё, кто кого порвёт", сказала тузику грелка надутая до 10 атм.
Я зла не помню, приходится записывать...
RR_Don вне форума   Ответить с цитированием
Старый 17-02-2008, 12:02   #26
RR_Nik
Flying Officer
 
Регистрация: Jan 2006
Сообщений: 1,367
Тоже какая то хрень твориться с компом. Хреначит и входящий трафик и пипец как хреначит исходящий. Вот за 10 мин. сколько.
открыл 15-20 страниц и Qip. всё.
Антивирь Нод, обновляется каждый день. Трафик идёт а Аутпост его не видит?????
Миниатюры
Нажмите на изображение для увеличения
Название: 2.jpg
Просмотров: 1146
Размер:	309.0 Кб
ID:	6462  
__________________
RR_Nik вне форума   Ответить с цитированием
Старый 17-02-2008, 16:08   #27
RR_BeGG
Flying Officer
 
Аватар для RR_BeGG
 
Регистрация: Jul 2006
Адрес: Севастополь - город-герой!
Сообщений: 1,440
ну аутпост ниче не видит потому что ты палюбому запихнул чета в довереные приложения. вот одно из довереных и ломицца кудата
RR_BeGG вне форума   Ответить с цитированием
Старый 17-02-2008, 16:24   #28
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Трафик доверенных приложений Аутпост фиксирует, и в журнале он отображается.
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 17-02-2008, 23:27   #29
RR_Nik
Flying Officer
 
Регистрация: Jan 2006
Сообщений: 1,367
Билин, и чё делать?
__________________
RR_Nik вне форума   Ответить с цитированием
Старый 17-02-2008, 23:31   #30
Boz
[]||||||[]
 
Аватар для Boz
 
Регистрация: Sep 2004
Адрес: Kiev
Сообщений: 2,635
Судя по картинкам - отображается не все. Покопайся в настройках журнала, фильтры глянь.
Boz вне форума   Ответить с цитированием
Старый 18-02-2008, 01:02   #31
RR_Nik
Flying Officer
 
Регистрация: Jan 2006
Сообщений: 1,367
Блин я тупой в этом вот фильтры
Миниатюры
Нажмите на изображение для увеличения
Название: 2.jpg
Просмотров: 1181
Размер:	82.3 Кб
ID:	6464  
__________________
RR_Nik вне форума   Ответить с цитированием
Старый 18-02-2008, 04:22   #32
Boz
[]||||||[]
 
Аватар для Boz
 
Регистрация: Sep 2004
Адрес: Kiev
Сообщений: 2,635
Короче, ты особо не переживай. Не трогай пока эти фильтры. Во первых аутпост все равно не умеет показывать итоговую статистику по трафику в нормальном виде. Во вторых, в окне состояния сетевого подключения тоже не совсем правда. У меня например байты не отображает - только пакеты. Байты я смотрю в консоли нетстатом (netstat -e) или в Jetico (есть такой нубский фаер). В итоге - цифры по входящим/исходящим везде немного разные, но с учетом погрешности их можно считать одинаковыми Короче, помониторь нормально трафик спецсофтиной какой-нить для начала
Миниатюры
Нажмите на изображение для увеличения
Название: bzz.jpg
Просмотров: 1132
Размер:	100.7 Кб
ID:	6465  
Boz вне форума   Ответить с цитированием
Старый 18-02-2008, 09:13   #33
RR_ZOD
SL
 
Аватар для RR_ZOD
 
Регистрация: Oct 2004
Сообщений: 5,882
А в сетевой активности чего?
RR_ZOD вне форума   Ответить с цитированием
Старый 20-02-2008, 12:00   #34
RR_Nik
Flying Officer
 
Регистрация: Jan 2006
Сообщений: 1,367
Победил вирусы. Установил Др.Вэб, в безопасном он 15 вирусов нашел и Ил стал загружаться не 1,5 минуты а секунд 15-20
__________________
RR_Nik вне форума   Ответить с цитированием
Старый 20-02-2008, 17:31   #35
Orion33
Простой совеццкий инженер
 
Аватар для Orion33
 
Регистрация: Oct 2004
Адрес: Фиинский заалифф :)
Сообщений: 2,810
Хм... А попробую-ка я тоже эту хрень поставить
__________________
[SIGPIC][/SIGPIC]
Почётный дятел
Главное знать, куда долбить!
Orion33 вне форума   Ответить с цитированием
Старый 25-02-2009, 14:21   #36
Boz
[]||||||[]
 
Аватар для Boz
 
Регистрация: Sep 2004
Адрес: Kiev
Сообщений: 2,635
Кину сюда, чтобы не потерялось. Дополнительная инфа тут: http://support.microsoft.com/kb/962007.

Цитата:
Conficker Worm

Saturday 24 January 2009 By NeutronIC [Matthew Peddlesden]

Abstract:
Having just experienced this delight of modern software engineering (cue much gnashing of teeth) I thought i'd pass on some notes for everyone here.

Note: None of this replaces anything your virus checker can and should be doing. Please make sure your Anti Virus software is up to date AND running.

We use Sophos Enterprise at work and have found that while it happily flashes up "hey you're infected" it actually does nothing about preventing OR removing it.

Please take this seriously, there are around 9 MILLION machines infected with this worm, world wide and it is by far the most prolific worm ever (the next most prolific was Storm, which only got to a paltry 1 million hosts).

Before we continue, if you run a network and you find any of your machines have got the worm then I strongly advise you immediately unplug and isolate every machine, either as I did by simply unplugging the switches/hubs OR if that's not viable, then just unplug every machine from the network - you will NOT be able to keep up with it replicating around your network re-infecting machines.

The Conficker worm can be detected very easily, click Start and then Run, then type “cmd” and press enter. This will start a command prompt window.

DETECTION:
From the command prompt window, type:

cd windowssystem32
dir /arsh

(*note the direction of slashes is important*)

You will probably get one entry called “dllcache”, this is fine. You should either get nothing else, OR one other entry which looks like a seemingly random collection of letters and is a DLL file.

If you do have a randomly named DLL file (e.g. bofhsd.dll) showing up with the above query then you DO have the worm/virus and should immediately remove the computer from your network.

To clean the virus:

Step 1: Stop it from running
Open task manager, click processes, find all the “svchost.exe” processes. One of them will be much bigger than the rest, usually it’s using about 25-30 megabytes of ram, but some times it’s less – it is however usually the biggest. Next, open a command prompt and type (but do NOT press enter) “shutdown –a”, this is useful if you shut the wrong svchost down as it will prevent the machine from rebooting. Now end-task the biggest svchost. If it says “machine shutting down in 30 seconds” – immediately press enter on the shutdown –a command and this will abort the shutdown sequence. When you find the correct one, it does NOT cause this message. Once it’s shut down you will be able to delete the DLL file.

Step 2: Remove the Worm

Please be very careful with this step if you're not familiar with explorer, deleting or moving the wrong files can render your machine unbootable.

Open Windows Explorer, navigate to C:windowssystem32. Click tools / folder options, then select the view tab. Tick “Show Hidden Files or Folders”. Untick “Hide Protected Operating System Files” and accept the warning. Now refresh the view of C:windowssystem32 and find the DLL file that you identified in the detection steps above.

Right click on the dll file and select properties. Select the Security tab. Select the “Everyone” user and then see what options are available – if the boxes below are available for selection, tick them all. If not, click advanced, select the ownership tab, highlight your user account and press “apply”, this will take ownership of the file. Press OK to come out, then go back to properties/security and you should find the boxes now available for selection. Tick them all and press ok.

You should now be able to simply DELETE the dll file. If you cannot, because it says “access denied”, this likely means that the correct svchost has not yet been stopped so you will need to go back to Step 1.

REBOOT THE MACHINE.

When it comes back up, repeat the detection steps and verify that the DLL is still not present.

If all seems ok, update your A/V again and then run a full system scan.

NOTE:
You should ensure that you have KB958644 update on your system (add/remove programs, tick the "show updates" box and scroll towards the bottom) - if you don't then do a windows update urgently.

Unfortunately while this bolts some of the doors shut, it doesn't prevent it running rampant around a network.

For those who run a network, you can help yourself a lot by making sure that nobody logs in with the administrator account, nobody has the same administrator password and nobody logs in with Domain Administrator privileges.

If you have been infected, you should also check ALL your usb keys. If you find an AUTORUN.INF file of about 58kb then the key is infected and if you have autorun still enabled on your machine then chances are good that your PC just got infected again too. REMOVE the autorun.inf file, and re-clean your machine.

DISABLE autorun:

http://features.engadget.com/2004/06...un-on-windows/

Disabling autorun will mean that inserting CD's or USB drives will no longer pop up nice menus and things, but it will also prevent things like Conficker from re-installing themselves on to your computer.

Hope this helps someone!
ПыСы Чуть не забыл - microsoft казлы
Boz вне форума   Ответить с цитированием
Старый 25-02-2009, 15:50   #37
RR_Kraft
HS_Czi - アリ
 
Аватар для RR_Kraft
 
Регистрация: Jul 2004
Адрес: Одесса
Сообщений: 2,450
Многа букав. не асилил. Что там?
__________________


Дятел отборный.



RR_Kraft вне форума   Ответить с цитированием
Старый 25-02-2009, 16:51   #38
RR_Tihon
Друг сердеШный
 
Аватар для RR_Tihon
 
Регистрация: Sep 2004
Адрес: Правый берег Волги
Сообщений: 688
про негодяйский червяк... у мну Нод ругается, что файлики модифицированы этим Конфикером, а что делать хз. Ничего не находит. ДокторВеб вообще ничего не видит.

Боз спасибо.
RR_Tihon вне форума   Ответить с цитированием
Старый 25-02-2009, 17:16   #39
RR_Nik
Flying Officer
 
Регистрация: Jan 2006
Сообщений: 1,367
бля, а вдруг у мене тоже червяк?
как я боюся этих гистов. пипец
__________________
RR_Nik вне форума   Ответить с цитированием
Старый 25-02-2009, 17:37   #40
RR_Tihon
Друг сердеШный
 
Аватар для RR_Tihon
 
Регистрация: Sep 2004
Адрес: Правый берег Волги
Сообщений: 688
у меня вродь все нормально работает, тест из портянки мелкософта проходит, заплатки стоят, но антивирь задолбал предупреждениями своими наверно нужно прибить антивирь
Миниатюры
Нажмите на изображение для увеличения
Название: conf.JPG
Просмотров: 1039
Размер:	61.1 Кб
ID:	7605  
RR_Tihon вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 19:19.


Red Rodgers official site. Powered by TraFFa. ©2000 - 2024, Red Rodgers
vBulletin Version 3.8.12 by vBS. Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot