portal.krasno.ru - Просмотр темы - Внимание вирус в городской сети

Страница 1 из 5

[ Сообщений: 133 ]

На страницу 1, 2, 3, 4, 5 След.

Внимание вирус в городской сети

Автор	Сообщение
hornet ветеран Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848	Внимание вирус в городской сети Обьясните подробнее что делать с вирусом если он проберётся в компьютер? как предостеречся? может вообще на время кабель вытащить? уж больно не хочется виндовс сносить
Вс 09 дек, 2007 21:31

webmines гуру Зарегистрирован: Пт 30 янв, 2009 02:54 Сообщения: 4490	А антивирус ставить не пробовал? _________________ Я всегда недоумевал, зачем доверенность, если владелец в багажнике?
Вс 09 дек, 2007 21:37

hornet ветеран Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848	стоит, всёравно опасно, может новый какой, а обновления на него не сделали ещё
Вс 09 дек, 2007 21:40

Sin ветеран Зарегистрирован: Пн 12 дек, 2005 00:04 Сообщения: 1603 Откуда: Stranger in the ку	почему нет варианта ответа "йа креведко"? _________________ Тортики на заказ
Вс 09 дек, 2007 21:53

nextUser ветеран Зарегистрирован: Пн 19 фев, 2007 23:21 Сообщения: 2157	Почему нет варианта - никакого вируса нет?
Вс 09 дек, 2007 22:04

Наблюдатель... завсегдатай Зарегистрирован: Вс 15 янв, 2006 19:13 Сообщения: 734	Re: Внимание вирус в городской сети hornet писал(а): Обьясните подробнее что делать с вирусом если он проберётся в компьютер? как предостеречся? может вообще на время кабель вытащить? уж больно не хочется виндовс сносить Поставить антивирус с последними базами, фаерволл, антируткит, отключить в браузере JavaScript и Java, проверить автозагрузку на наличие подозрительных программ и сервисов, проверить память на наличие подозрительных процессов (Ctrl+Alt+Del) и т.д. Есть ещё более параноидальные советы, правда я думаю их врядли кто-то будет выполнять.
Вс 09 дек, 2007 22:07

Trace мудрец Зарегистрирован: Вс 11 дек, 2005 23:32 Сообщения: 12162 Откуда: dialog-k	Перестать пользоваться IE как вариант, опасность заражения снизится. _________________ Знания - сила, незнание - счастье.
Вс 09 дек, 2007 23:00

zadoff мудрец Зарегистрирован: Сб 21 янв, 2006 23:17 Сообщения: 10984	Выкинуть комп и пойти кататься на санках/лыжах/коньках и больше не думать о подобной чепухе! _________________ Нельзя говорить «мы», когда стоишь в стороне.
Пн 10 дек, 2007 09:25

Дима чемпион по скоростной печати Зарегистрирован: Пн 12 дек, 2005 21:00 Сообщения: 9104 Откуда: Гондурас	Trace писал(а): Перестать пользоваться IE как вариант, опасность заражения снизится. заметил такую особенность, если на сайты красно.ру заходил через IE, то выскакивало иногда окно антивируса с предупреждением, через мазилу ни разу не выскочило.
Пн 10 дек, 2007 11:38

Raf новичок Зарегистрирован: Пн 29 окт, 2007 14:32 Сообщения: 53	Цитата: 26.11.2007 18:39:39 IMON архив http://bara.degunino.net/books/cyberlib ... z/rn01.tgz IRC/Zcrew.B троян Связь завершена Больше я ничего не обнаруживал.
Пн 10 дек, 2007 12:41

Shef ветеран Зарегистрирован: Пт 21 июл, 2006 00:32 Сообщения: 1537 Откуда: Фирма Диалог-К	Дима писал(а): заметил такую особенность, если на сайты красно.ру заходил через IE, то выскакивало иногда окно антивируса с предупреждением, через мазилу ни разу не выскочило. Просто на IE у Вас включена поддержка Java, а на мозиле выключена. Больной комп ставит себе адрес шлюза. К нему от вас летит пакет с запросом на открытие форума. А он в ответ отправляет джавного трояна. Троян приплывает в IE, и втаскивает из Инета вируса и передает управление. (Есть в IE эта дыра) И Вы уже спидоносец.
Вт 11 дек, 2007 00:10

Дима чемпион по скоростной печати Зарегистрирован: Пн 12 дек, 2005 21:00 Сообщения: 9104 Откуда: Гондурас	Shef, залез в настройки мозилы, стоят галочки напротив Использовать JavaScript и Использовать Java.
Вт 11 дек, 2007 00:47

Shef ветеран Зарегистрирован: Пт 21 июл, 2006 00:32 Сообщения: 1537 Откуда: Фирма Диалог-К	Дима писал(а): Shef, залез в настройки мозилы, стоят галочки напротив Использовать JavaScript и Использовать Java. Я пока все выводы делаю по косвенным признакам. (что админы скажут, что в форумах понапишут, как пинги проходят и трассировки; живьем вируса не видел....наверное к счастью) Значит вирус рассылает трояна только на IE. А узнает о типе эксплоера из запроса. Умный, гад. Совет Трейса в силе - не пользоваться IE.
Вт 11 дек, 2007 10:20

Ka3us гуру Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607	Признаки появились только что в 15ч19мин местного времени в злополучном доме №1. Засечена попытка (успешная) подмены адреса. 1 - 15:19:40: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB 2 - 15:21:33: Mapping changed: 172.18.50.254 changed from 00-80-48-1A-53-AB to 00-19-5B-12-56-82 3 - 15:21:39: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB 4 - 15:21:40: Mapping changed: 172.18.50.254 changed from 00-80-48-1A-53-AB to 00-19-5B-12-56-82 5 - 15:21:43: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB 6 - 15:21:45: Mapping changed: 172.18.50.254 changed from 00-80-48-1A-53-AB to 00-19-5B-12-56-82 7 - 15:21:46: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-80-48-1A-53-AB и так 27 пунктов. При попытке войти на данный портал через IE-подобный эксплорер (умышленно) антивирус блокировал попытку проникновения трояна. Указанный файл пытался разместиться во временных файлах интернета. Ну и самое интересное : Код: IP MAC in system chache last changed vendor network order IP host order IP type adapter 172.18.50.10 00-80-48-1A-53-AB yes - COMPEXINCORPORATED 171053740 2886873610 dynamic 0x2 Intel(R) PRO/100 VE Network Connection - Минипорт планировщика пакетов 172.18.50.254 00-80-48-1A-53-AB yes 15:32:46 COMPEXINCORPORATED 4264694444 2886873854 dynamic 0x2 Intel(R) PRO/100 VE Network Connection - Минипорт планировщика пакетов
Вт 11 дек, 2007 16:50

Shef ветеран Зарегистрирован: Пт 21 июл, 2006 00:32 Сообщения: 1537 Откуда: Фирма Диалог-К	Ka3us Опишите для пользователей каким ПО ловите ARP запросы. Пользователям, у кого сеть падает - такое описание проблемы, как у Ka3us, позволяет нам быстро принять меры по изоляции вирусоносителя.
Вт 11 дек, 2007 17:00

VAlery новичок Зарегистрирован: Пн 29 май, 2006 00:09 Сообщения: 35	Shef писал(а): Дима писал(а): заметил такую особенность, если на сайты красно.ру заходил через IE, то выскакивало иногда окно антивируса с предупреждением, через мазилу ни разу не выскочило. Просто на IE у Вас включена поддержка Java, а на мозиле выключена. Больной комп ставит себе адрес шлюза. К нему от вас летит пакет с запросом на открытие форума. А он в ответ отправляет джавного трояна. Троян приплывает в IE, и втаскивает из Инета вируса и передает управление. (Есть в IE эта дыра) И Вы уже спидоносец. Эта дыра есть на старых версиях IE. Обновляйтесь друзья.
Вт 11 дек, 2007 17:12

Ka3us гуру Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607	Программа называется XArp, выложил на 172.18.50.50 в папку Soft/Lan_Arp под названием XArp_0.1.5_win2000_winxp.zip Установки не требует, после запуска надо минимизировать окно - оно свернется в трей и ждать При попытке смены физического адреса всплывет окно. Из меню сохранить в текстовый файл содержимое двух окон и файлы выслать провайдеру. Всё.
Вт 11 дек, 2007 17:21

Наблюдатель... завсегдатай Зарегистрирован: Вс 15 янв, 2006 19:13 Сообщения: 734	Прикольная программка. Вот ещё: 1 - 16:25:25: Mapping changed: 172.18.50.254 changed from 00-E0-4C-51-63-B0 to 00-19-5B-12-56-82 2 - 16:25:28: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-E0-4C-51-63-B0
Вт 11 дек, 2007 17:28

Trace мудрец Зарегистрирован: Вс 11 дек, 2005 23:32 Сообщения: 12162 Откуда: dialog-k	Наблюдатель... писал(а): 2 - 16:25:28: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-E0-4C-51-63-B0 выключили _________________ Знания - сила, незнание - счастье.
Вт 11 дек, 2007 18:02

D_guest завсегдатай Зарегистрирован: Чт 02 фев, 2006 11:05 Сообщения: 544	Shef писал(а): Ka3us Опишите для пользователей каким ПО ловите ARP запросы. Пользователям, у кого сеть падает - такое описание проблемы, как у Ka3us, позволяет нам быстро принять меры по изоляции вирусоносителя. Я не Ка3us, но Возможно использование отечественного продукта.... ВОТ: http://mdprograms.narod.ru/ MDArp
Вт 11 дек, 2007 18:23

hornet ветеран Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848	что должна показать MDArp когда произошла подмена адреса?
Вт 11 дек, 2007 18:38

D_guest завсегдатай Зарегистрирован: Чт 02 фев, 2006 11:05 Сообщения: 544	Trace писал(а): Наблюдатель... писал(а): 2 - 16:25:28: Mapping changed: 172.18.50.254 changed from 00-19-5B-12-56-82 to 00-E0-4C-51-63-B0 выключили Вы там осторожнее выключайте .. не 37 год, я тоже вон в субботу настучал (по телефону) на какого -то пострадавшего.. за это же, как - то неудобно, просил не отключать , а позвонить ему сначала. А то начнется взял из кэша чей-нибудь адрес и.. Вообще , ставьте постоянный МАС на шлюз и дорогие вам адреса из вашей подсети и проблем намного меньше будет, я об этом вспомнил только когда после первода сети забыл это снова сделать
Вт 11 дек, 2007 18:44

D_guest завсегдатай Зарегистрирован: Чт 02 фев, 2006 11:05 Сообщения: 544	hornet писал(а): что должна показать MDArp когда произошла подмена адреса? заносите MAC шлюза в образцы (в принципе она сама заносит- вы проверьте что он правильный), и на каждую смену : окно сообщений (МАС и адрес) + лог ведется (100кб всего лишь мониторится ваш arp кэш)
Вт 11 дек, 2007 19:07

hornet ветеран Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848	спасибо. я так понял MDArp запускать надо при включении компьютера и сворачивать? о подмене надеюсь MDArp даст знать?
Вт 11 дек, 2007 19:40

D_guest завсегдатай Зарегистрирован: Чт 02 фев, 2006 11:05 Сообщения: 544	hornet писал(а): спасибо. я так понял MDArp запускать надо при включении компьютера и сворачивать? о подмене надеюсь MDArp даст знать? Да, поставьте шлюз статическим, запускайте программу и ловите врагов. народа (список в логе будет)
Вт 11 дек, 2007 19:49

hornet ветеран Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848	(поставьте шлюз статическим) я наверно надоел? )) как это сделать
Вт 11 дек, 2007 19:54

Ka3us гуру Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607	D_guest писал(а): Вы там осторожнее выключайте .. не 37 год А если бездействовать, то будет 33-й. Если мне не изменяет память, то похожий вирус гулял в сети лет 5-6 назад. Правда сеть была проще и в основном страдали пользовательские машины. И на этот лекарство найдут.
Вт 11 дек, 2007 19:57

D_guest завсегдатай Зарегистрирован: Чт 02 фев, 2006 11:05 Сообщения: 544	hornet писал(а): (поставьте шлюз статическим) я наверно надоел? )) как это сделать Вот здесь в конце это обсуждали viewtopic.php?t=1833&start=810 В общем Пуск- Выполнить-cmd - arp -s 172.18.ХX.254 00-хх-хх-хх-хх-хх 172.18.ХX.ХХ т.е arp -s {адрес шлюза в вашей подсети} {МАС шлюза} {ваш адрес} МАС шлюза смотрите в той же MDarp когда все работает норм Ka3us писал(а): А если бездействовать, то будет 33-й. А что там было-то? Сетьв целом не падает( из-за данной проблемы) (пока arp трафик все не забьет ), просто у юзеров пропадает шлюз и, соответственно, хосты из других подсетей становятся недоступны (Дима тут писал : "странно krasno.ru пропадает, а на 50.50 могу зайти"- это ж в одной подсети - ничего странного)
Вт 11 дек, 2007 20:11

Trace мудрец Зарегистрирован: Вс 11 дек, 2005 23:32 Сообщения: 12162 Откуда: dialog-k	http://www.krasno.ru/arp-gw.php скриптик прописывает статическую запись в системе и в реестре в автозагрузке. Советую запустить всем, должны уменьшиться потери связи. _________________ Знания - сила, незнание - счастье. Последний раз редактировалось Trace Вт 11 дек, 2007 21:34, всего редактировалось 1 раз.
Вт 11 дек, 2007 21:33

Aleksey гуру Зарегистрирован: Сб 03 фев, 2007 16:46 Сообщения: 4201 Откуда: Из прошлого	1 - 20:30:01: Mapping changed: 172.18.0.254 changed from 00-14-5E-6B-52-96 to 00-80-48-3A-A2-BF 2 - 20:30:03: Mapping changed: 172.18.0.254 changed from 00-80-48-3A-A2-BF to 00-14-5E-6B-52-96 3 - 20:30:09: Mapping changed: 172.18.0.254 changed from 00-14-5E-6B-52-96 to 00-80-48-3A-A2-BF 4 - 20:30:10: Mapping changed: 172.18.0.254 changed from 00-80-48-3A-A2-BF to 00-14-5E-6B-52-96 5 - 20:30:27: Mapping changed: 172.18.0.254 changed from 00-14-5E-6B-52-96 to 00-80-48-3A-A2-BF Вот етот цикл раз 10-15 повторился. Сеть естественно еле дышит.
Вт 11 дек, 2007 21:33

Показать сообщения за: Поле сортировки