WolfEnstein BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Один из пользователей нашей сети запустил у себя вирус http://www.dials.ru/inf/news.php?id=703 Ситуацию как-то локализовать смогли. Но. Первое что интересует что он делает с зараженной системой. Второе. У меня на сервере файла taskmon.exe нет,но на зараженной машине он был. но. Вирус открывает порты с 3127 по 3198. Порт 3127 у меня открыт. Насколько я помню,то он является каким-то системным. Сканирование системы Dr.Web последним с последними базами не нашло ничего. Для теста я положил зип архив с вирусом. Его нашло. Вроде как система чистая. Но зачем тогда этот порт. Потом такие вопросы. Нужен хороший антивирус под 2000 Сервер и обязательно что-бы работал в нем монитор. Еще кто-бы посоветовал брендмауер?Либимый аутпост ужастно глючит. Написала название вируса в теме. lynx. Всего записей: 615 | Зарегистр. 16-01-2004 | Отправлено: 16:05 28-01-2004 | Исправлено: lynx, 19:45 28-01-2004

xntx хнотик-багоискатель Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору WolfEnstein http://www.viruslist.com/viruslist.html?id=144488783 ответы на все вопросы там. Цитата: Нужен хороший антивирус под 2000 Сервер и обязательно что-бы работал в нем монитор.   Kaspersky Вроде на серверах хорош... (серверная версия) ---------- Hello world! Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 16:56 28-01-2004

multis Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть уже программка удаляющая эту гадость http://www.f-secure.com/v-descs/novarg.shtml Всего записей: 28 | Зарегистр. 18-02-2002 | Отправлено: 19:53 28-01-2004

valhalla Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Все антивирусники сделали бесплатные утилиты. Данилов прикололся на ними: "Дело в том, что Dr.Web® в который раз оказался единственным антивирусом, который не требует для лечения зараженного червем компьютера дополнительных утилит" http://www.dials.ru/inf/news.php?id=707 Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 14:04 29-01-2004

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору WolfEnstein Цитата: ирус открывает порты с 3127 по 3198. Порт 3127 у меня открыт. Насколько я помню,то он является каким-то системным. Сканирование системы Dr.Web последним с последними базами не нашло ничего. Для теста я положил зип архив с вирусом. Его нашло. Вроде как система чистая. Но зачем тогда этот порт. Потом такие вопросы. Нужен хороший антивирус под 2000 Сервер и обязательно что-бы работал в нем монитор. Еще кто-бы посоветовал брендмауер?Либимый аутпост ужастно глючит.     Мы эту проблему решили очень просто и красиво. Когда узнали что у нас вирь новая гуляет нашли описание и согласно его просканили с фри-бсд машины нмар-ом порты с 3127-3198 по всей сети. где они были открыты там и лечили. Кстати, он может и не только в taskmon прятаться, он также прячется в txt, scr и еще что-то. вычисляется просто в списке задач смотришь подозрительные процессы типа "readme.txt" или "desktop.scr" и прибиваешь, только смотри фар-ом а не менеджером задач. потом чистишь реестр и лечишь машину.   Добавлено Кстати, 3127 не системный порт ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 15:13 29-01-2004

WolfEnstein BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Raredemon 3127 не системный? плохо,а как вирус заражает машшинки в сети? Dr.Web ничего не показывает на сервере,а порт там открыт. Кстати,кто-нибудь пробовал утилиту для даления червя от касперского? Всего записей: 615 | Зарегистр. 16-01-2004 | Отправлено: 00:56 30-01-2004

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору WolfEnstein У нас стоит корпоративный Нортон, после апдейта автоматического сам все цепляет. А заражает просто, на зараженной  машине мониторит почту и почтовые базы, потом от имени твоих контактов рассылает почту по знакомым адресам и аттачит файл, который глупые юзвери сразу открывают. У нас так пол-сети получили письма от имени админа и ко-админа.... Ну и сам понимаешь - открыли.     А насчет каспера серверного - лучше не пробуй... Сколько уже с этим проблем известно, только на здесь это много раз обсуждалось. Один из самых известных глюков - остановка всей сети. Просто лежит сеть, мертво, даже не пингуются машины, сносишь каспера и все пучком ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:29 30-01-2004

WolfEnstein BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вроде вылечил все. сейчас вот небольшую статейку накатаю. как я все лечил. Всего записей: 615 | Зарегистр. 16-01-2004 | Отправлено: 20:30 31-01-2004

Loafer Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору WolfEnstein Цитата: Нужен хороший антивирус под 2000 Сервер и обязательно что-бы работал в нем монитор. я бы посоветовал Symantec Corporate - последний для серверов - разворачивается уютно, есть русские доки - ну общем инфа в "Варезнике" для рабочих станций - его же клиент (уже есть и русский) - все это вместе "дружно" работает - проблем с апдейтами нет - да и последние тесты вроде прошел не плохо (судя по hxxp://www.virusbtn.com/) Цитата: Еще кто-бы посоветовал брендмауер?Либимый аутпост ужастно глючит. на серверах бы я его не ставил - без заморочек устраивает McAfee Desktop 8.0 для рабочих станций McAfee Personal (вопросов у юзверей меньше - хотя зачем им файер ) ---------- Никнейм зарегистрирован Всего записей: 6455 | Зарегистр. 09-12-2001 | Отправлено: 20:03 01-02-2004 | Исправлено: Loafer, 20:13 01-02-2004

valhalla Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кто-нибудь знает, какой IP у www.sco.com? Похоже, они запись dns для него убрали. Собираюсь акаунтинг посмотреть. Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 10:16 02-02-2004

douplus Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору 195.161.113.218 ...вроде никто не убирал Всего записей: 8 | Зарегистр. 28-01-2004 | Отправлено: 11:08 02-02-2004

lynx Advanced lynx Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору valhalla Цитата: Кто-нибудь знает, какой IP у www.sco.com?     Цитата: -bash-2.05b$ whois sco.com        Domain Name: SCO.COM    Registrar: DOTSTER, INC.    Whois Server: whois.dotster.com    Referral URL: http://www.dotster.com    Name Server: NS.CALDERASYSTEMS.COM    Name Server: NS2.CALDERASYSTEMS.COM    Name Server: C7NS1.CENTER7.COM    Name Server: NSCA.SCO.COM    Status: ACTIVE    Updated Date: 22-jan-2003    Creation Date: 03-sep-1987    Expiration Date: 02-sep-2004     Цитата: -bash-2.05b$ host sco.com sco.com has address 216.250.128.21 sco.com mail is handled (pri=10) by mail.ut.caldera.com Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 11:23 02-02-2004

valhalla Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я имел ввиду www.sco.com. Нету его. Цитата: root@gate:~# host www.sco.com Host www.sco.com not found: 3(NXDOMAIN) Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 16:42 02-02-2004 | Исправлено: valhalla, 16:44 02-02-2004

kopchik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Зато некоторые говорят, что все таки убрали запись ДНС: http://www.times.lv/index.php?Mode=readnews&NewsID=118570&CatalogID=8 Всего записей: 131 | Зарегистр. 23-01-2004 | Отправлено: 11:40 03-02-2004

kopchik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вообще мне так кажется, что сам вирус генирирует сообщения о том, что ''в вашем сообщении вирус'', а не только warnings ''анти- вирусных серверов''. Всего записей: 131 | Зарегистр. 23-01-2004 | Отправлено: 11:36 04-02-2004

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Заразился вирусом Win32.HLLM.MyDoom (в сети)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование