ссучий вирус на XP

Непрочитанное сообщение **ADRE** » 2009-04-10 3:28:50

В общем сканировал машинки avz, nod, drweb - ничего не нашли, но всё время занимаются в сети вот такой порнографией...

Apr 10 09:17:21 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.68 in via em1
Apr 10 09:17:22 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.69 in via em1
Apr 10 09:17:22 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.70 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.71 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.148:2739 93.158.134.48:5222 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.72 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.32 192.168.18.132 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.230:1615 89.202.157.201:80 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.32:2641 69.10.61.245:80 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.73 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1287 195.189.143.187:80 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.74 in via em1
Apr 10 09:17:25 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.75 in via em1
Apr 10 09:17:25 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.76 in via em1
Apr 10 09:17:26 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.77 in via em1
Apr 10 09:17:26 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.78 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.32:2641 69.10.61.245:80 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.79 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.148:2740 93.158.134.48:5222 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.80 in via em1
Apr 10 09:17:28 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.81 in via em1
Apr 10 09:17:28 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1288 195.189.143.187:80 in via em1
Apr 10 09:17:28 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.82 in via em1
Apr 10 09:17:29 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.83 in via em1
Apr 10 09:17:29 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.84 in via em1
Apr 10 09:17:30 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.85 in via em1
Apr 10 09:17:30 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1287 195.189.143.187:80 in via em1
Apr 10 09:17:30 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.86 in via em1
Apr 10 09:17:31 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.87 in via em1
Apr 10 09:17:31 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1288 195.189.143.187:80 in via em1
Apr 10 09:17:31 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.88 in via em1
Apr 10 09:17:32 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.89 in via em1
Apr 10 09:17:32 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.90 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.89:1194 77.120.102.146:80 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.32:2641 69.10.61.245:80 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1291 195.189.143.187:80 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.91 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.92 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.93 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1299 38.102.136.101:80 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1300 90.156.178.41:80 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1302 94.103.82.186:80 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.94 in via em1
Apr 10 09:17:35 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0

чем можно это вытащить?? не говоря уже о том, что ходят на 80 порты к

Код: Выделить всё

OrgName: McColo Corporation
OrgID: MCCOL
Address: 64 East main st. box 275
City: Newark
StateProv: DE
PostalCode: 19715
Country: US

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg · Непрочитанное сообщение zg » 2009-04-10 7:21:18

троянремовер попробуй, мне помог. Тоже поначалу искал авз, кламом, вебом, нифига не находили, потом просканил ремувером, так он целый букет собрал

Непрочитанное сообщение **ADRE** » 2009-04-10 8:08:58

угу сейчас попоробую местную файлопомойку поковырять может есть....

Gegemon · Непрочитанное сообщение **Gegemon** » 2009-04-10 8:50:06

OSAM попробуй очень качественный продукт. Питерская разработка. На форуме не плохая поддержка.
p.s.: Не знаю ни одного антивируса, который бы лечил всё (и знать не хочу).

zg · Непрочитанное сообщение zg » 2009-04-10 9:11:53

Gegemon писал(а):OSAM попробуй очень качественный продукт

походу прикольная штука -) надо будет попробовать

paradox · Непрочитанное сообщение **paradox** » 2009-04-10 9:13:40

фаервол поставь
и он сразу покажет каке приложение стучиться

Gegemon · Непрочитанное сообщение **Gegemon** » 2009-04-10 9:25:28

paradox писал(а):фаервол поставь
и он сразу покажет каке приложение стучиться

Не факт.
Вспомнил случай с KIS (вроде еще версии 6-ой).
С одной виндовой машины (ХР SP2) шла рассылка спама (рвался наружу по 25-му порту).
При закрытии 25-го порта KIS'ом - честно переставал работать почтовый клиент, а вирус продолжал свой черное дело.
Так вот...
Когда мастдай не видит ни в какую ( netstat показывал девственную чистоту по 25-му порту ) что у него в процессах, то смысл в антивирусных программах не велик.

zg · Непрочитанное сообщение zg » 2009-04-10 9:32:24

Gegemon писал(а):С одной виндовой машины (ХР SP2) шла рассылка спама (рвался наружу по 25-му порту).

угу, тоже было сие чудо, фаер тут не помошник. Вирус может слать данные аки системный сервис (svchost), а его фиг блокирнёшь без ущерба

Gegemon · Непрочитанное сообщение **Gegemon** » 2009-04-10 9:35:55

zg писал(а): угу, тоже было сие чудо, фаер тут не помошник. Вирус может слать данные аки системный сервис (svchost), а его фиг блокирнёшь без ущерба

Да Виндофс сложная саморганизующаяся система.

Которая без подсадки на иглу ( в виде антивирусов ) работает очень не долго.

Непрочитанное сообщение **ADRE** » 2009-04-10 9:36:11

авторан OSAM - конечно хорошо ) но не думаю что бухгалтер будет смотреть ))), и её не волнует что её пк пингует незарегистрированные сети...
avz - просто заподозрил
nod - не увидел
троянремувер - нешел че-то вялое
короче руками удалил, csrcs.exe в system32, делает какие-то файлики и пишет себя в реестре....

Непрочитанное сообщение **ADRE** » 2009-04-10 9:39:05

Gegemon писал(а):
zg писал(а): угу, тоже было сие чудо, фаер тут не помошник. Вирус может слать данные аки системный сервис (svchost), а его фиг блокирнёшь без ущерба
Да Виндофс сложная саморганизующаяся система. Которая без подсадки на иглу ( в виде антивирусов ) работает очень не долго.

мда кстате на этом пк стоял рабочий брэндмауер виндовс, пакеты блочил Ipfw на вайлообменнике, роутер тоже блочил icmp 8,0, но вот скачку всякого говна с сайтов к сожелению не присечь, т.к. зарегиным пользователям можно качать, а IP случайные, заблочил конечно, но а смысл? дебилойды поменяют IP и опять начнется такая же ахинея... =(

zg · Непрочитанное сообщение zg » 2009-04-10 9:40:47

ADRE писал(а):csrcs.exe в system32

-))) это 100% вирусяга, системный файл называется csrss.exe (кстати системный сервис)

zg · Непрочитанное сообщение zg » 2009-04-10 9:43:20

Кстати вот http://virusinfo.info/showthread.php?s= ... f2&t=33191

Непрочитанное сообщение **ADRE** » 2009-04-10 9:43:37

так он в диспетчере не отображается ) в реестре стартует и делает свое дело, как новый др.веб5 - систему кушает, а по диспетчеру типа он пушистик и кушает 1% проца, в это время проц нагреватся как утюг....... и все приложения дохнут

paradox · Непрочитанное сообщение **paradox** » 2009-04-10 9:47:01

zg писал(а):
ADRE писал(а):csrcs.exe в system32
-))) это 100% вирусяга, системный файл называется csrss.exe (кстати системный сервис)

фуууу
тупой вирус
я на днях у себя в компе его удалил
он в реестре прописываеться
и в корень себя гадит
ну и в system32 прописывает

так что удаляешь его смело
и все

в таскменеджерее его кстати видно
смотри лучше

zg · Непрочитанное сообщение zg » 2009-04-10 9:48:51

ADRE писал(а):так он в диспетчере не отображается )

я к тому, что почиститься надо после него, а то всякий мусор остаётся в реестре

paradox писал(а):я на днях у себя в компе его удалил

не такой уж и тупой значит

раз к тебе на комп таки пролез

paradox · Непрочитанное сообщение **paradox** » 2009-04-10 9:56:32

так это категория тех вирусов что через екслоер в активиксах пролезает
это тот вирус что я давече жаловался на него
актив иск отключил и фаер поставил
и досвидос всем вирусам

Непрочитанное сообщение **ADRE** » 2009-04-10 10:00:44

вовремя я бухгалтеров на firefox подсадил ))

zg · Непрочитанное сообщение zg » 2009-04-10 10:07:57

ADRE писал(а):вовремя я бухгалтеров на firefox подсадил ))

средствами activex можно в любом браузере создать произвольный файл и запустить его... вирусы тем и живут

Gegemon · Непрочитанное сообщение **Gegemon** » 2009-04-10 10:08:53

ADRE писал(а):авторан OSAM - конечно хорошо ) но не думаю что бухгалтер будет смотреть ))), и её не волнует что её пк пингует незарегистрированные сети...
....

Так ты понял как он (OSAM) рабтает?
Он хорошо заразу с компа выгребает, там где антивирусы не справляются.
PREVX - очень качественный продукт на нахождение заразы в компе и в реестре...
Но! он платный. Хотя даже в демо-режиме можешь найти очень много всего.
p.s.: Кстати у них размещена иформация на 1-ой странице какой антивирус какую заразу пропускает.

Непрочитанное сообщение **ADRE** » 2009-04-13 2:46:01

Gegemon писал(а):
ADRE писал(а):авторан OSAM - конечно хорошо ) но не думаю что бухгалтер будет смотреть ))), и её не волнует что её пк пингует незарегистрированные сети...
....
Так ты понял как он (OSAM) рабтает?
Он хорошо заразу с компа выгребает, там где антивирусы не справляются.
PREVX - очень качественный продукт на нахождение заразы в компе и в реестре...
Но! он платный. Хотя даже в демо-режиме можешь найти очень много всего.
p.s.: Кстати у них размещена иформация на 1-ой странице какой антивирус какую заразу пропускает.

сижу вот изучаю...

forum.lissyara.su

ссучий вирус на XP

ссучий вирус на XP

Услуги хостинговой компании Host-Food.ru

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP

Re: ссучий вирус на XP