Город Куйбышев _ Интернет и сети _ Сетевая атака

: Петрович 25.8.2006, 7:12

Стоит выйти на форум, как Каспер отбивает сетевую атаку Intrusion.Win.MSSQL.worm.Hellkern
с адреса 61.142.250.46, и так каждый раз.

Что к чему, сайт больной или хакер завелся...

: binarick 6.9.2006, 15:38

61.142.250.46

inetnum: 61.140.0.0 - 61.146.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: IC83-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GD
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20040914
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: lqing@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

person: IPMASTER CHINANET-GD
nic-hdl: IC83-AP
e-mail: ipadm@gddc.com.cn
address: NO.1,RO.DONGYUANHENG,YUEXIUNAN,GUANGZHOU
phone: +86-20-83877223
fax-no: +86-20-83877223
country: CN
changed: ipadm@gddc.com.cn 20040902
mnt-by: MAINT-CHINANET-GD
remarks: IPMASTER is not for spam complaint,please send spam complaint to abuse@gddc.com.cn
source: APNIC

отсюда видим, что адрес входит в диаппазон крупнейшего Китайского провайдера....
Странно, но в вирусном листе самого касперского такого червя нет....
Предположу, что это sql червь заразивший конкретную базу форума а может и весь sql сервер....
а может это вообще какойнить скрипт чтонибудь собирающий....

: Glebis 6.9.2006, 16:42

Можит это индексатор с какогонить поискового сайта? Админы бы уже давно бы исправили это. Хотя причём тут китайцы smile.gif

: binarick 6.9.2006, 21:30

Цитата(Glebis @ 6.9.2006, 16:42) *
Можит это индексатор с какогонить поискового сайта? Админы бы уже давно бы исправили это. Хотя причём тут китайцы smile.gif


индексаторы индексирую web ресурсы а что они могут индексировать у обычного пользователя форума на его компе ? и что вообще такое индексаторы ?

: Петрович 6.9.2006, 22:06

У меня Каспер 5.0327, обновляю раз в неделю.
Рубит надежно.
А что, только я червяк вижу, или еще есть счастливцы ?

: NightMan 6.9.2006, 22:29

К сожалению подтвердить не могу smile.gif

: binarick 7.9.2006, 15:16

Поставил сёдня Каспера 6.0.0.303, обновил сегодня..... нефига не ловит на форуме.
Может у тебя Петрович какиенить примочки на IE стоят !?

: Петрович 7.9.2006, 17:33

Да вроде ничего такого нет.
Каспер у меня этого червяка вычислил и снес,
а примерно через неделю он назад полез, и больше месяца житья не было.
На этой неделе только раз засек и все, пока тихо.
Китайцы успокоились... dry.gif

P.S. ...на целых 4 дня и снова пошли в атаку. На этот раз с адреса 222.33.135.212.

: T-nex 30.10.2006, 18:16

По поводу каспера, у кого есть ключик на avp 6.0.0.3 больше, чем до сентября 2007 года. Поделитесь, плз.

: Петрович 24.12.2006, 18:33

Тема получила неожиданное продолжение.

Есть у нас в городе сайт Каинскинфо, кто не знает.
Заходил, посмотрел - все бы ничего, да долго открывается.

А на днях забежал в гости к знакомому - смотри, говорит - и Каинскинфо открывает.
Сразу иконки пошли - сетевые атаки, и разная чепуха полезла.
Что-то у тебя, говорю, антивирус зрячий чересчур, мой-то Каспер 6.0 на этом сайте ничего не видит .
Это, говорит, АВАСТ, дивная прога. На Каинскинфо житья нет от атак, а на других сайтах вроде тихо.

Вот я и думаю, или АВАСТ не то что надо видит, или сайт кривой, или вообще не знаю что.
Может, поэтому долго и открывается... huh.gif

За что купил, за то и продаю. ИМХО.

: NightMan 24.12.2006, 18:47

Петрович, поставь линукс и все проблемы исчезнут smile.gif

: Veles 26.12.2006, 22:18

Подтверждаю, зашел через диалап - аутпост окошками замигал о сканировании портов, через ADSL видимых эффектов нету - там модем сам справляется

: Петрович 27.12.2006, 22:54

Поставлю АВАСТ - сам посмотрю, что и как.

Касперский-то с прошлого месяца того... ключа живого требует dry.gif

: NightMan 27.12.2006, 23:10

Цитата(Петрович @ 27.12.2006, 21:54) *
Поставлю АВАСТ - сам посмотрю, что и как.

Касперский-то с прошлого месяца того... ключа живого требует dry.gif


Сочувствую sad.gif
И ещё поставь FireWall
http://soft.softodrom.ru/ap/p2174.shtml

: ccc 5.1.2007, 10:39

Цитата(NightMan @ 27.12.2006, 22:10) *
И ещё поставь FireWall
http://soft.softodrom.ru/ap/p2174.shtml

smile.gif смеёшься? ты бы ещё какого-нибудь динозавра предложил!..

P.S. Сарказм понял. Ты всё про Линукс.

: NightMan 5.1.2007, 10:45

Цитата(ccc @ 5.1.2007, 9:39) *
smile.gif смеёшься? ты бы ещё какого-нибудь динозавра предложил!..

P.S. Сарказм понял. Ты всё про Линукс.

Да нет, не сарказм, просто я других под форточку не знаю smile.gif
Предложи свой выбор, а чем мой не нравится ?

: Петрович 29.5.2007, 7:07

Как поставил зимой Avast 4.7, так все заморочки кончились. smile.gif

Заодно пару десятков вирусов снес. Не видит их Каспер...

: Хрюн Моржов 9.4.2010, 23:09

Что-то сегодня мой друг Нортон Антивиру 2008 раз за разом сообщает что атаку на мой компьютер заблокировал. За час, что сидел в форуме, не менее десяти раз выскакивали сообщения. Сейчас опять сообщил.
Интересно коллеги, а как у Вас? Это меня выбрали жертвой для атак или общая проблема?

: Инок 10.4.2010, 0:07

Цитата(Хрюн Моржов @ 9.4.2010, 23:09) *
Что-то сегодня мой друг Нортон Антивиру 2008 раз за разом сообщает что атаку на мой компьютер заблокировал. За час, что сидел в форуме, не менее десяти раз выскакивали сообщения. Сейчас опять сообщил.
Интересно коллеги, а как у Вас? Это меня выбрали жертвой для атак или общая проблема?

А что конкретно пишет, доп информация есть? А то у меня антивирусник, не стоит, в просто фаервол настроен по умолчанию так что все атаки идут лесом. Может вы троян подцепили?

: Хрюн Моржов 10.4.2010, 0:31

Цитата(Инок @ 9.4.2010, 21:07) *
А что конкретно пишет, доп информация есть? А то у меня антивирусник, не стоит, в просто фаервол настроен по умолчанию так что все атаки идут лесом. Может вы троян подцепили?

Нортом глаголит, что были попытки вторжения со стороны. Троянов он прикончил даже не сообщая. Про них в журнале прочитал.

: Инок 10.4.2010, 0:51

Цитата(Хрюн Моржов @ 10.4.2010, 0:31) *
Нортом глаголит, что были попытки вторжения со стороны. Троянов он прикончил даже не сообщая. Про них в журнале прочитал.

Ну логи же он должен какие-то выдавать, что за атака с какого адреса и проч? Там кнопки не где нет подробнее или в статистике/логах посмотрите!

: Хрюн Моржов 10.4.2010, 10:55

Цитата(Инок @ 9.4.2010, 21:51) *
Ну логи же он должен какие-то выдавать, что за атака с какого адреса и проч? Там кнопки не где нет подробнее или в статистике/логах посмотрите!

Вот данные журнала безопасности6
Название угрозы: HTTP Trojan Sastis Activiry
Атакующий компьютер: 195.78.109.5, 80
Целевой адрес: COMPUTER
Ну, и далее время атаки, и действия - заблокировал

: Петрович 10.4.2010, 11:25

Это были голландцы:

inetnum: 195.78.108.0 - 195.78.109.255
netname: GlobalRouting-NL-NET
remarks: Global Routing
remarks: i3d rotterdam route
remarks: for abuse please contact abuse@globalrouting.eu
org: ORG-POIS1-RIPE
country: EU
descr: PI Obodovsky Ivan Sergeevich

organisation: ORG-POIS1-RIPE
org-name: Global Routing
org-type: OTHER
address: Piet Paaltjensplein 70, 3030 TZ Rotterdam, The Netherlands

: lom 10.4.2010, 13:16

А при чём здесь Ободовский иван Сергеевич?

: lom 10.4.2010, 13:22

у меня аваст- молчит...

: Хрюн Моржов 10.4.2010, 15:05

Цитата(lom @ 10.4.2010, 10:22) *
у меня аваст- молчит...

Аваст попроще и весит немного меньше. Его достаточно, если по "помойке" не шаришся, или если оперативная память маленькая. Нортон антивирус требует для нормальной работы не меньше гигабайта преративки, иначе тормозить будет. Но для работы в интернете он хорош. За шесть лет проблем у меня не было. Раньше он был на английском. Теперь версии с 2008 все русифицированы и справка хорошая.

: Хрюн Моржов 15.4.2010, 23:58

Интернет-преступники осваивают новую горячую тему

Интернет-преступники осваивают новую горячую тему. На волне участившихся в Европе и Америке громких баталий между правообладателями и пользователями файлообменных сетей появились мошенники, которые пытаются использовать борьбу за копирайт для собственного обогащения. В течение недели интернет-пользователей терроризирует новый вирус. Угрожая судебным процессом, он предлагают своим жертвам выплатить «штраф» за скачивание пиратских торрентов.
Новый вирус представляется программой от некой представительной организации, выступающей от правообладателей, которой в реальности не существует. Убедительности этой афере придает следующая уловка: вирус проводит сканирование жесткого диска на наличие нем torrent-файлов, список которых потом и прилагает как доказательство пиратской деятельности пользователя. После этого «пойманному с поличным» предлагается выплатить «штраф» в размере $400 для внесудебного решения конфликта. http://newsland.ru/News/Detail/id/488362/

: Хрюн Моржов 6.6.2011, 14:53

Скачать Видеоурок: Как снять блокировку компьютера

--> Видеоуроки » Изучение компьютерных программ. Photoshop. Web. >> Скачать бесплатно


"Ваш компьютер заблокирован... Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей..." Редкий пользователь в просторах Интернета не знаком с этой горькой фразой. Баннеры - вымогатели с завидной настойчивостью требуют с нас деньги, надеясь на нашу неопытность, а шансы получить заветный код после оплаты всегда практически равны нулю. Вирусы, попавшие на компьютер стали настолько живучи, что их не могут обнаружить даже лечащие утилиты от самых известных производителей антивирусов. Как самому обнаружить вирус и снять блокировку операционной системы расскажет видеоурок "Как снять блокировку компьютера".
Рассмотрены варианты работы с одной из самых последних модификаций блокировщика операционной системы Trojan. Winlock, поразивших компьютеры пользователей в конце апреля 2011 года. Ввиду его совершенствования за последние месяцы, в архив добавлена статья с рекомендациями по устранению проблем, связанных с вирусной активностью хитрого троянца. И, наконец, если Вам знакомо название файла 22СС6С32.exe, то эта статья точно для Вас.
Название видеоурока: Как снять блокировку компьютера
Год выпуска: 2011
Формат файла: flv
Продолжительность: 00:02:58
Лекарство: не требуется
Размер: 9 Mb
Видео: 480x360, 30 fps
Аудио: MPEG, VBR, 44kHz
http://razym.ru/videobook/kompv/117917-videourok-kak-snyat-blokirovku-kompyutera.html

: Фома 6.6.2011, 18:38

Цитата(Хрюн Моржов @ 6.6.2011, 14:53) *
Скачать Видеоурок: Как снять блокировку компьютера

--> Видеоуроки » Изучение компьютерных программ. Photoshop. Web. >> Скачать бесплатно


"Ваш компьютер заблокирован... Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей..." Редкий пользователь в просторах Интернета не знаком с этой горькой фразой. Баннеры - вымогатели с завидной настойчивостью требуют с нас деньги, надеясь на нашу неопытность, а шансы получить заветный код после оплаты всегда практически равны нулю. Вирусы, попавшие на компьютер стали настолько живучи, что их не могут обнаружить даже лечащие утилиты от самых известных производителей антивирусов. Как самому обнаружить вирус и снять блокировку операционной системы расскажет видеоурок "Как снять блокировку компьютера".
Рассмотрены варианты работы с одной из самых последних модификаций блокировщика операционной системы Trojan. Winlock, поразивших компьютеры пользователей в конце апреля 2011 года. Ввиду его совершенствования за последние месяцы, в архив добавлена статья с рекомендациями по устранению проблем, связанных с вирусной активностью хитрого троянца. И, наконец, если Вам знакомо название файла 22СС6С32.exe, то эта статья точно для Вас.
Название видеоурока: Как снять блокировку компьютера
Год выпуска: 2011
Формат файла: flv
Продолжительность: 00:02:58
Лекарство: не требуется
Размер: 9 Mb
Видео: 480x360, 30 fps
Аудио: MPEG, VBR, 44kHz
http://razym.ru/videobook/kompv/117917-videourok-kak-snyat-blokirovku-kompyutera.html


При попытке обращения к этому ресурсу мой Avast ыдал сообщение: вредоносная программа заблокирована!

: Хрюн Моржов 6.6.2011, 23:02

Скачал нормально. Распаковал. В нём оказалось 4 файла:
- две страницы с инструкцией, как удалить БАННЕР – ВЫМОГАТЕЛЬ docx;
- экзешный файл taskmgr (диспетчер задач Vindows);
- экзешный файл userinit (приложение для входа в систему);
- видеоролик "Как править реестр заблокированного компьютера".
Эти два exe файла как раз поражаются Трояном. Они вложены для замены поражённых файлов. Видимо на них и ругается антивирусник.
У меня стоит Нортон Антивирус. Он оставил в журнале запись, что атаку на компьютер отразил. Однако, ничего не блокировал, и не удалял. А при скачивании и распаковке вообще молчал.

: Инок 7.6.2011, 7:29

Цитата(Хрюн Моржов @ 6.6.2011, 23:02) *
Скачал нормально. Распаковал. В нём оказалось 4 файла:
- две страницы с инструкцией, как удалить БАННЕР – ВЫМОГАТЕЛЬ docx;
- экзешный файл taskmgr (диспетчер задач Vindows);
- экзешный файл userinit (приложение для входа в систему);
- видеоролик "Как править реестр заблокированного компьютера".
Эти два exe файла как раз поражаются Трояном. Они вложены для замены поражённых файлов. Видимо на них и ругается антивирусник.
У меня стоит Нортон Антивирус. Он оставил в журнале запись, что атаку на компьютер отразил. Однако, ничего не блокировал, и не удалял. А при скачивании и распаковке вообще молчал.

Присоединяюсь к коллеге Фоме сайт действительно атакует компьютер, я бы ничего не брал с такого сайта и не распаковывал/запускал. То что у Вас коллега Нортон Антивирус, не ругнулся на эти файлы ещё не показатель того что они не заражены или не являются вирусами.
Сталкивался с ситуацией когда вирус блокировал компьютер до такой степени что не давал заменить ни taskmgr ни userinit. И разблокираторы с сайтов Касперского и Доктора Веба ни помогали.
З.Ы. Хотел скачать файлы для изучения на предмет заражения, но сайт уже не доступен!

: Хрюн Моржов 8.6.2011, 2:32

Цитата(Инок @ 7.6.2011, 7:29) *
Присоединяюсь к коллеге Фоме сайт действительно атакует компьютер, я бы ничего не брал с такого сайта и не распаковывал/запускал. То что у Вас коллега Нортон Антивирус, не ругнулся на эти файлы ещё не показатель того что они не заражены или не являются вирусами.
Сталкивался с ситуацией когда вирус блокировал компьютер до такой степени что не давал заменить ни taskmgr ни userinit. И разблокираторы с сайтов Касперского и Доктора Веба ни помогали.
З.Ы. Хотел скачать файлы для изучения на предмет заражения, но сайт уже не доступен!

Уже не атакует.
И Avast не реагирует, и Касперский не замечает, ну, а мой Нортон мирно дремлет.
Самое интересное, что ругнулся Нортон лишь тогда, когда я открыл страницу, чтобы скопировать и выложить ссылку на форуме (скачал я этот видеоурок ещё в предыдущий вечер и тогда он ничего не заметил). Ну, а так как данная электронная библиотека почти сутки не работала, то видимо кто-то пытался заразить этот сайт. Но сейчас уже на многих электронных библиотеках можно найти и скачать данный видеоурок.

: Инок 8.6.2011, 7:30

Может сайт уже и не атакует компьютер, но в черный список google он попал! И предупреждение что сайт может атаковать firefox выдает. И все таки я бы рекомендовал очень осторожно относиться к таким советам и файлам из "помойки", ведь заменив этими файлами другие можно ещё больше навредить системе и данным. Более безопасным в таких ситуациях пользоваться советами из книг, журналов сайтов антивирусов и пр.

: Инок 8.6.2011, 23:19

Сравнил файлы (taskmgr.exe, userinit.exe) из архива и файлы из системы md5-суммы - разные! Это о чем-то говорит или не факт?
Видео познавательное, но не подготовленному пользователю лучше не рисковать.

: Хрюн Моржов 30.6.2012, 23:11

AntiSMS
Эффективная программа для быстрого автоматического лечения блокировщиков и троянов

Описание программы

Загрузочный диск AntiSMS позволяет даже неопытным пользователям разблокировать Windows в случае заражения системы блокировщиками (программы-вымогатели, рекламные и порно-баннеры) или троянами Trojan.Winlock.
При запуске компьютера с загрузочного диска программа AntiSMS автоматически выполняет все необходимые действия для лечения зараженной системы. В ручном режиме доступен Редактор реестра Windows.
В стандартный набор входит инструмент для проверки дисков, который при проверке исправляет ошибки и восстанавливает поврежденные сектора на разделах жесткого диска.
Лечение блокировщиков и троянов при помощи AntiSMS Загрузочный диск
• Скачайте ISO-образ загрузочного диска AntiSMS.iso;
• Запишите образ на CD/DVD-диск с помощью программы для записи дисков (например, Nero Kwik Burn). Также вы можете использовать загрузочный USB-носитель, записав образ на флешку с помощью утилиты AntiSMS USB Installer;
• Загрузите компьютер с использованием записанного диска и запустите программу AntiSMS, кликнув по ее значку на рабочем столе.
• Перезагрузитесь в рабочую систему Windows и выполните проверку антивирусным сканером.
• Для включения нормальной автозагрузки после лечения нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Если после перезагрузки системы проблемы не исчезли, значит антивирусный сканер при проверке пока не определяет заражение. В таком случае повторите процесс лечения с помощью AntiSMS Загрузочный диск, не выполняя данный пункт.
• Если Интернет после заражения не работает - запустите отдельную программу AntiSMS.exe в рабочей системе и выполните сброс настроек сети.

Основные возможности AntiSMS Загрузочный диск

• Поддержка всех версий ОС Windows от XP и выше, включая 32-разрядные (x86) и 64-разрядные системы.
• Удаляет существующие файлы autorun.inf в корне каждого логического диска.
• Удаляет исполняемые файлы, которые не должны присутствовать в папках профиля пользователя.
• Очищает содержимое временных папок системы и пользователя.
• Включает комментарии ко всем нестандартным записям hosts-файла.
• Отключение возможности автозапуска на всех съемных устройствах (кроме дисковода).
• Восстановление критических областей реестра Windows (например, Shell и Userinit).
• Очистка всех временных ключей автозапуска (например, RunOnce и RunOnceEx).
• Удаление всех отладчиков системных процессов в ключе реестра Image File Execution Options.
• AntiSMS выполняет удаление всех политик ограничений (Policies) пользователей и системы.
• Включение неограниченного уровня в политике ограничения использования программ.
• Отключение всех неподписанных служб (восстановление через msconfig после загрузки системы).
• Отключение неподписанных файлов в автозагрузке реестра и в папке автозагрузки (восстановление через msconfig после загрузки системы).
• Переименовывание неподписанных назначенных заданий в формат *.bak, для возможности дальнейшего восстановления.
• • Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстановление параметров запуска исполняемых файлов.
• Удаление vbs-скриптов из автозагрузки реестра (восстановление через msconfig после загрузки системы).
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Восстановление параметров загрузки в безопасном режиме (для ОС Windows XP x86 (32-bit)).
• Для Windows XP x86, Vista x86-x64 и Win7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• AntiSMS выполняет лечение последствий от всех известных MBR-блокировщиков. Резервная копия зараженного сектора сохраняется в корне раздела с системой и во временной папке под именами MbrLockX.bak, где X - номер вылеченного раздела жесткого диска.
• Сохранение нестандартного MBR для лечения неизвестных троянов.
• Глубокая очистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• AntiSMS правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
Скачать и прочитать комментарии можно COMSS.RU
или на simplix forum

Зы: Сегодня пришлось воспользоваться данной программой. Действует эффективно. Рекомендую.
Ну, а коллега Инок, как модератор данного раздела, надеюсь, прокомментирует.

: Инок 1.7.2012, 0:25

Я бы ни стал, пользоваться данной программой, Вам коллега просто повезло, что наткнулись на добросовестных программистов. А могли ведь трояна ещё хуже запихать, а может и запихали! Ведь эта программа от неизвестных людей. В таких делах лучше полагаться на известные компании.

Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)