| [Форум] [Помощь] [Поиск] [Выйти] |
Добро пожаловать, ![[info]](userinfo.gif){kind=small} User
|
|
|
| ||
| В моей сети появился троян AVSERVE2.EXE или просто AVSERVE.EXE Прописывает себя в реестр, сидит в кореновм каталоге WINNT Вешает LSASS, после чего компьютер уходит в даун. DrWEB его не видит, в интернете про него ничего не нашел... Кто встречался и как бороться? |
| ||
| Читать здесь: http://www.viruslist.com/alert.html?id=145080269 Обновляться, обновляться и еще раз обновляться... |
| ||
| в интернете про него ничего не нашел... Yandex - найдется все - неочень точный слоган... Это оказалось вирусякой Win32.HLLM.Jobaka...Вообще мерзкий червяк.... :( |
| ||
| http://www.livejournal.com/users/3apa3a_b_ta3e/248578.html |
| ||
| Вчера началась эпидемия вируса Worm.Win32.Sasser.b (по классификации лаборатории Касперского). Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011: Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack. Размножение При запуске червь регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] avserve2.exe = %WINDIR%avserve2.exe Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку cmd.exe и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя _up.exe, где N - случайное число. Всем рекомендуется пойти по ссылке на сайт Микрософта и скачать последние патчи для Windows |
| ||
| ну уж и вчера, ей уже как не третий месяц пошел http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en |
| ||
| Дело в том, что в некоторых странах есть обыкновение в датах месяц не на втором месте писать, а на первом :-) Т.е. если вы видите дату 05/02/2004, то это не обязательно 5-е февраля. Может быть и 2-м мая. Т.е. рекомендую обращать внимание, в каком формате пишется дата. А вирус Worm.Win32.Sasser.* действительно свежий, в конце апреля-начале мая только появился. |
| ||
| точно! очень своевременная поправка |
| ||
| просто любопытно: это не из-за него сегодня все сберкассы прикинулись трупами? |
| ||
| не знаю на счет сберкасс, а мне точно приходится трупом прикинуться, не знаю, как мне угораздило эту заразу подцепить... |
| ||
| думал подцепил (симптом похожий) ан нет. респект файерволу ;) подцепил патч от ms, который починив одно ломал другое... |
| ||
| Была такая старая шутка: Если вам нужна стабильность и безопасность, ставте Unix, если нужна красота - MacOS, если не нужно ни того ни другого - ставте WinNT .. |
| ||
| Действительно, очень-очень старая шутка. На всякий случай напомню, что далеку не все коммерческие юниксы имеют уровень 4, как винда... РедХат, вон, со своим энтерпрайз сервером последним, тоже тужился-тужился, да и получил-таки сертификат! Уровня 2.... |
| ||
| Я не специалист по сертификатам разных уровней, но почемуто вспоминается msblast. Теперь вот Sasser.... А для линуха что-то ничего такого не припоминается. К тому же когда был msblast, мелкософт перевёл свой сайт на сервак под *nix'ом (не помню точно был это BSD или Linux - можно в архивах порыться). В общем без комментариев. |
| ||
| да емае, потому что под *nixами сидят полтора землекопа, а основная масса пользуется виндовсом. Будут все юниксоидами - тогда и ее с таким же успехом будут корежить. |
| ||
| Будут все юниксоидами - тогда и ее с таким же успехом будут корежить. есть мнение, что даже с большим. Т.к. код открыт. |
| ||
| Не знаю будет ли мой опыт полезен? Пару дней назад мой комп начал страшно тормозить, предлагать перезагрузиться, отправить куда-то отчет (в какую-то службу, обещая сохранить конфедициальность моих данных). Запустив диспетчер задач, я с ужасом видел, что мой Атлончик загружен на 100 процентов, немного успокаивало, что нет обращения к дискам. Немного настораживало, что больше половины иконок для запуска програм исчезло. Проверил местоположение самих программ, они оказались на своем месте. Два дня не включал комп, полная безысходность, ни каких надежд на излечение.......... Сегодня, после пятисот граммов Костромской Старорусской обозлился, включил комп (загрузка процессора 100 процентов), запустил диспетчер задач, определил процесс, который так грузит мою машину. Этим процессом оказался файл AVSERVE2.EXE. Запустил поиск этого гадского файла, нашел его в двух местах, один с расширеним exe, другой еще с каким-то (не помню точно), удалил их, перезагрузился................... Ура!!!!!!!!!! все работает, все летает как прежде!!!!!!! Лишь бы рецидивов не было |
| ||
| народ..а не проще ли фаервол ставить и интивирус...аутпост и касперский...соответственно..на счет каспера могу дать лицензионную версию...от ЧИПА |
| ||
| аутпост: заметное проявление после установки - машина начинает падать в произвольные моменты, от версии аутпоста не зависит... |
| ||
| ИМХО...ручки кривые..ничего не падает вот уже 5 месяцев..на 2 компах... |
| ||
| да? обидно, ну уж кто каким родился. а мне казалось, если бы выключал комп, то и не заметил бы никогда... |
| ||
| полгода под ХР, изза аутпоста не падал ни разу |
| ||
| это всё настолько зависит, что и обсуждать не хочется... |
| ||
| А еще после установки OUTPOST лучше сразу удалить файлик op_data.dll . Аутпост ведет журнал...и со временем этот журнал разрастается до 100 и боле МБ :) И начинает существенно тормозить загрузку компьютера. Лучше удалить сразу после инсталла :) |
| ||
| Лучше не удалять после инсталла, а удалить инсталл, чтобы вдруг случайно не запустился :) |
| ||
| На мою миленькую, маленькую почтовую мышь совершили зверское нападение: вчера 9 писем, сегодня еще 6 с пометкой документ типа плиз рид, благо дело антивируска истерику закатила, мол не буду эту гадость открывать. Поясните доступным языком, что там примерно могло быть и как сделать чтобы мне больше не присылали всякую дрянь. |
| ||
| 9 писем, сегодня еще 6 с пометкой документ типа плиз рид, благо дело антивируска истерику закатила, мол не буду эту гадость открывать. 1) если адрес не .ru и не .com - можешь СМЕЛО удалять все на сервере. Т.к. 90% спама с такими окончаниями. А переписку с иностранцами ты не ведешь пока 2) НЕ ОТКРЫВАЙ ФАЙЛЫ ОТ НЕЗНАКОМЫХ ЛЮДЕЙ!!! или ты типа не знала? ;) |
| ||
| Присылали, присылают и будут присылать... мне вон на новое мыло и то присылают, хотя нигде его не публиковал - удачно сгенерили видимо список рассылки. Бороться с почтовыми вирусами в домашних условиях, мне, например, проще всего не получая лишних писем с сервера, а полученные удалять не читая, если признаю в письме стиль спама или прикрепленный файл (обычно мне фалы без запросов не шлют). Счас на обработку каждого такого письма уходит 0,3 секунды где-то. Ну и никто не отменял почтовые сервера с автоматической проверкой и антивирусные программы. |
| ||
| Ясно.. Спасибо! Жаль, что борьба с этим бесполезна, а мыло менять что-то не хочется (. |
Отправил