 |
eXeL@B —› Вопросы новичков —› Как найти сведения о черве с IP 195.5.117.230 |
| Посл.ответ | Сообщение |
|
|
Создано: 12 ноября 2007 00:38 · Личное сообщение · #1 Подключен к интернету. Вижу как иконка сети то и дело зажигается. Включаю TDImon. Вижу как пакеты туда сюда ходят. Как узнать по-точнее место расположения червя. То, что червь живет в самой ОС или является неотемлемой её частью изначально, ответ не очевиден. Посоветуйте пожалуйста ссылочку, где можно почитать про борьбу с этим злом. WinXP sp2.  |
|
|
Создано: 12 ноября 2007 00:45 · Личное сообщение · #2 AlexKlm дык заюзай фаер, и узнаеш, в какой момент, какой процесс куда отправил и сколько апкетов, сколько принял. Заюзай например HideToolz, Process Hunter и увидеш все,даже скрытые процессы с полным путем до файла, может найдеш подозрительный процесс. |
|
|
Создано: 12 ноября 2007 02:18 · Личное сообщение · #3 Процессы эти SERVICES.EXE SVCHOST.EXE - из числа системых. И придраться не к чему. Там вообще-то пока калёным железом не выжгешь (т.е. - ручками) все интернет примочки из штатного ПО, безсмысленно искать виноватого. Вообще, это тема сложная и знакомая тем кто вплотную занимается безопаснстью операционок, кто знает все её дыры. Да, брандмайуэр я отключил, а он, кстати никак на это не реагировал в подобном случае несколько месяцев назад. Т.е. - данное поведение является с его точки зрения - нормальным. !? |
|
|
Создано: 12 ноября 2007 02:39 · Поправил: AlexKlm · Личное сообщение · #4 Я отключил в сервисах "Вторичный вход в систему". До этого этим IP интересовался WINLOGON.EXE. Он теперь перестал, зато продолжил другой модуль - SERVICES.EXE, но он данные не передает, не может. SERVICES.EXE:169 84C5DA80 TDI_CONNECT TCP:0.0.0.0:4467 195.5.117.230:2 535 HOST_UNREACHABLE - это ответ и он закругляется. А до этого, WINLOGON.EXE, по разным портам шарил по этому же адресу. И обменивался данными. Вот их бы , сами данные прочитать, облегчило бы задачу. Информация о "номерах портов для стандартных служб, определенные IANA" находится в файле ...\system32\drivers\etc\services . Кое-что, но далеко не все, многово не хватает. |
|
|
Создано: 12 ноября 2007 03:39 · Личное сообщение · #5 Нашел! Зашел на www.ripe.net/fcgi-bin/whois? ввел 195.5.117.230 и получил: inetnum: 195.5.116.0 - 195.5.117.255 netname: EE-COMPIC descr: Compic Ltd. country: EE org: ORG-CL48-RIPE admin-c: RI215-RIPE tech-c: RI215-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-by: AS3327-MNT mnt-routes: AS3327-MNT mnt-domains: AS3327-MNT source: RIPE # Filtered organisation: ORG-CL48-RIPE org-name: Compic Ltd. org-type: OTHER address: Voru 1-28 address: 13612, Tallinn address: Estonia phone: +372 6321028 e-mail: roman@compic.ee admin-c: RI215-RIPE mnt-ref: AS3327-MNT mnt-by: AS3327-MNT source: RIPE # Filtered person: Roman Ivanov address: V.ru 1-28 address: 13612, Tallinn address: Estonia phone: +3726321028 e-mail: roman@compic.ee nic-hdl: RI215-RIPE source: RIPE # Filtered Вот откуда ветер дует. |
|
|
Создано: 12 ноября 2007 16:32 · Личное сообщение · #6 Rootkit Unhooker установи и посмотри, мб что-то похукано из апей или в SSDT.. з.ы. вэлкам ту ботнет :D ----- invoke OpenFire |
|
|
Создано: 13 ноября 2007 03:40 · Личное сообщение · #7 Ice-T, спасибо за ценный совет, вот только Rootkit Unhooker не сохранился, проект закрылся, видно перекупили как говорят. Качаю (по отзывам - равноценный) McAfee Rootkit Detective. Очень медленно, спать пора, а я все комп ремонтирую. Задолбал это хитро-мудрый вирус. А что такое ботнет? Это где бот (обуви) нет? Или это плавающая посудина запутавшаяся в сетях (интернета)? |
|
|
Создано: 13 ноября 2007 08:56 · Личное сообщение · #8 AlexKlm стучи в преват, как проснешсо, дам анхукер, а про botnet ищи в гугле ----- invoke OpenFire |
|
|
Создано: 13 ноября 2007 22:05 · Личное сообщение · #9 Я скачал McAfee Rootkit Detective, он нашел процесс назвавший себя сам services.exe и указывающий на файл на диске ...\System32\services.exe. Я его удалил находясь в Win98, XP после этого естественно не загрузился, поставил на место его. Косит вирус под систему, а когда пакеты передает, то иногда косит под winlogon. Физическая природа вируса не известна. Проявляется через несколько минут после подключения удаленного доступа. Задача сложная для антивирусника если заранее нет шаблона действий. Когда процесс уже запущен то концов не найдешь, разве что случайно по контрольным суммам, чего я пока не знаю, как это проверить не вручную же по одному файлу открывать. Наверное скачаю антивирус и похороню эту проблему. Грешен, иногда понижал безопасность в интернете, а может не повезло, наткнулся на мусорный экзешник. Спасибо за помощь! |
|
|
Создано: 13 ноября 2007 22:20 · Личное сообщение · #10 AlexKlm пишет: Грешен, иногда понижал безопасность в интернете Грешен? Покайся и в монастырь! ----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 13 ноября 2007 22:29 · Личное сообщение · #11 виндоус переставь, меньше трабл будет) ----- Shalom ebanats! |
|
|
Создано: 13 ноября 2007 23:14 · Поправил: AlexKlm · Личное сообщение · #12 Нашел, botnet - вирусная мафия, послать бы им надо подарок с ТНТ к Новому году, от деда мороза. 
|
|
|
Создано: 13 ноября 2007 23:59 · Личное сообщение · #13 ууу файлы не сноси! =) выложи куда нить архивчег под пассом, может удасться какую инфу выудить
----- [nice coder and reverser] |
|
|
Создано: 16 ноября 2007 05:35 · Личное сообщение · #14 AlexKlm Дык как то странно ты говоришь, неместный что ли? Али переводчик используешь?  а файло Hellspawn пишет:
выложи куда нить архивчег под пассом да надо бы 
посмотрим че по чем
|
|
|
Создано: 16 ноября 2007 19:49 · Личное сообщение · #15 Шутки шутками, а ОС переставить пришлось. Я сам её успел подпортить безвозвратно, а причину нашел, и не антивирусником, а случайно. Сравнил размер файлов и оказалось что мой winlogon на пару байт жирнее чем оригинальный, и дописана там дллка mstscex.dll в конце. Понятно, что ремонтировать долго бы не пришлось если была в системе встроенная проверка на вшивость жизненно важных файлов. |
|
|
Создано: 16 ноября 2007 20:54 · Личное сообщение · #16 а вообще такая проверка есть
файло потёр? ----- [nice coder and reverser] |
|
|
Создано: 17 ноября 2007 01:18 · Поправил: AlexKlm · Личное сообщение · #17 Hellspawn - скажи что ты имеешь ввиду, вирусную прогу я не затирал, winlogon затер конечно, но можно поискать, вирус где-то копию сохранил наверное, может найду. Если есть проверка в виндде, подскажи где это, пусть и другие узнают. Как в анекдоте, про в принципе у нас есть все, только не знаем где ентот принцип найти. Кто не понял, ТНТ это тринитротолуол = тротил= тол. И пошутить нельзя. |
|
|
Создано: 17 ноября 2007 12:55 · Личное сообщение · #18 www.oszone.net/523/
----- [nice coder and reverser] |
|
|
Создано: 17 ноября 2007 14:33 · Личное сообщение · #19 Hellspawn, большое спасибо! А это я нашел по ходу расследования: support.microsoft.com/kb/310747/ru : Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe) Работает минут 5, требует установочный диск, но в моем случае это было бы намного лучше чем переустановка ОС. |
|
|
Создано: 21 ноября 2007 09:07 · Личное сообщение · #20 Hellspawn пишет: www.oszone.net/523/ Обходится элементарно 1. Заменяем или удаляем файл в system32/dllcash 2. Заменяем оригинальный файл 3. Ждём появление сообщения ,что файлы были изменены и говорим ему PostMessage(findwindow(nil,'Защита файлов Windows'),WM_quit,0,0);
----- Что один человек сделал , другой всегда сломать может... |
|
eXeL@B —› Вопросы новичков —› Как найти сведения о черве с IP 195.5.117.230 |
Для печати