Rimmer

У меня только одно желание поймать одного придурка который мне жить мешает и переломать ему пальцы!!! Он падлюка мне систему в перезагрузку отправляет как только из под WIN2000 в нэт зайду подсоеденяется хмырь с IP Address 212.220.74.67 или 212.220.75.200 и я наблюдаю минутный отсчёт времени и ресет!!! Я человек простой, но за такие развлечения морду бъют и..... Присоветуйте чего нибудь чтоли.

P.S. я верю что мир не без добрых людей!

Комментарии
Башуров В.В.

IP - Уралсвязьинформ, но не качканарский. Чей конкретно не знаю, однако это и не важно. Окошко с обратным остсчетом (в названии окна должно быть упоминание службы RPC, дословно не помню) вызывает группа вирусов - сетевых червей, заражающих линейку NT/W2K/XP через открытый порт упомянутой службы. Кстати, раз твоя винда падает, значит червь у тебя уже есть и за ту время, которое ты успеваешь поработать в инете, он активно сканирует сеть на предмет "кого бы еще заразить?". Лечение: во-первых скачать свеженький антивирь и все тщательно проверить. Хотя, результатов иногда может и не принести, тогда лучше переставить всю винду с нуля. Затем, еще до первого выхода в инет, поставить либо небольшую заплатку от Microsoft (где-то у меня на работе есть), либо последний сервис-пак (в котором встроенный файрвол), либо отдельный файрвол, например ZoneAlarm. Причем, когда этот файрвол во время работы вдруг откроет свое окошко, к сообщению в нем нужно относиться очень внимательно и вдумчиво, особенно если в качестве реакции предлагается Yes/No.

Петеримов С. (sp)

Было у меня такое же желание полтора года назад :) Вот смотри здесь http://www.kachkanar.ru/intern может поможет...

Rimmer

а как тогда обясняется что всё в той же WINNT но при дозвоне на 6,2828 подарок не приходит? Я пользовался Essential NetTools, хоть я в этом и мало сведущь но ко мне подключаются, а когда я это дело просто обрубал раз пять попытки отправить меня в перезагрузку прекратились. P.S. Винда переустонавливалась раза три, антивирусником всё пылесосил тоже, тока что не форматировал!!! Спасибо за участие.

Fulcrum

Rimmer, все ж поставь себе фаервол. Лично я пользуюсь Agnitum Outpost.. все по-русски и понятно. Bash, да там может просто DoS-атака, а не червь. Придурков в инете хватает. Кстати, у меня тоже такое было, когда винду дома только поставил и фаервол еще не установил. Даже без выхода в инет, просто подключившись к сети Альтера.

Башуров В.В.

Rimmer, ты бы сразу подробнее ситуацию описал, а? Вообще, спец, который нам cisco (маршрутизатор с модемным пулом) на АТС-6 (62828 и 00 с АТС-6) ставил, вроде говорил, что закрывал наиболее уязвимые порты. Хотя, вообщем то, это не забота Уралсвязьинформа, обеспечивать безопастность интернетчиков. На АТС-2 (00 с АТС-2) циску поставили значительно познее, возможно там порты все открыты. Это первое, что приходит на ум... Нашел описание Essential NetTools - это не файрвол, он не защищает систему. Разница как между портье и охранником - первый только зафиксирует вторжение, а вот второй его отразит. Ну, или попытается отразить... ;-) Fulcrum, DoS атака на диалапщика?!!! Кому он нафик нужен, этот "неуловимый Джо"? :-) Тем более другому диалапщику где-то не в Качканаре... Червяк это, на 95% уверен.

Башуров В.В.

Ну точно!!! Вспомнил, что тот спец закрывал 135 порт (NETBIOS), т.к. через него можно было подключаться к расшаренным дискам. У одного из наших клиентов тогда поперли пароль на доступ - он лазил в инет с открытым для всех диском C:. А вот описание червя: http://www.viruslist.com/ru/vi Не факт, что именно этот, их там целый выводок, но какой-то из них...

Хватов В.Н.

Вирус это, Володь, не помнишь что ли как его Ложкин на бук поймал... Пришлось винду сносить, только что то не очень он ее поставил, медленный бук стал...

Mpak

Вобще когда вижу комп без какого либо фаревола и подключенного по выделенке меня в такую дрож кидает.. :) На такие компы даже свой переносной хард без особой надобноости не цепляю.. а людей которые утверждают что IE нормалный браузер (Мотивируют это тем что имо пользуется абсолютное большинство) я бы вобще всех к стенке и из пулемета.. без разбору.. Причем у меня на Ремэлектро находились пользователи которые верещат что мол мы будем пользоваться оутлоком и IE потому как мы к ним привакли..

Башуров В.В.

Справедливости ради, следует заметить, что файрвол от Майкрософт встроенный в XP посредством SP2 пока себя еще не дискредитировал. Если он, разумеется, включен. :-) Вообще не понимаю, почему они так долго шли к этой безусловно необходимой интеграции? А IE после последних апдейтов стал параноиком - даже Macromedia Flash без спросу не запускает... :) Вообще, у всех свои недостатки: я вот тут новую версию движка к сайту мастерю, кое где использую джаву, так вот Опера 8.0 наотрез отказывается принимать событие onContextmenu, а на onDblclick помимо вызова указанной функции вываливает еще и свое меню. В IE все это работает без проблем... IE, кстати, действительно нормальный браузер. Вот Опера, это - отличный бразуер, даже несмотря на вышеозначенные глюки. :-) А вот ненормальные, это те вебмастера, которые делают сайты исключительно под IE используя нестандартные Майкрософтовские фишки.

Mpak

Bash а де ты видел браузер опера 8.0 :? не мне табе говорить что такое бета :) После 20 минутного использования 8 версии снес ее нафиг.. и вобше меня всегда устраивала (с момента выхода) 7.21 .. также как и бат 3.0.. всегда лучшим считал The Bat! v1.60 . :) он умеел все кромя одного.. зачто приходится юзать терь версии повыше. а неумел он бекапить нестандартные папки (дополнительные).. вобщем.. старое всегда лучше.. если оно удовлетворяет запросам а 8 опера хорошей будет еще нескоро .. темболее отличной..

Башуров В.В.

7.21 у меня нет. Попробовал в 7.10 - та же ерунда. Плюс еще и при загрузке орет, что мол функции нет, хотя она лежит в прилинкованном файле. Самое смешное - хоть и орет, но функция потом срабатывает... Итого: Повесил функцию на два события: onContextmenu (это клик правой кнопкой по объекту) и onDblclick (двойной клик по объекту). Функция открывает pop-up окошко. IE 5.0 отработал джаву совершенно так, как нужно. Опера 8.0 и 7.1 проигнорировали onContextmenu, на onDblclick попутно вывалили свое меню. Pop-up не заблокировали, т.к. справдливо сочли его запрошенным пользователем. FireFox 0.9 отработал onContextmenu, но отказался вываливать pop-up окошко. После отключения блокировки сработал нормально. На onDblclick сработал и с включенной блокировкой. Других браузеров у меня здесь нет... Однако от темы мы плавно ушли... :)

Rimmer

Хоть от темы и ушли а за консультацию огромное спасибо. Я тоже Оперу 7.2 пользую и жалоб и нареканий не имею! Попробую поставить Agnitum Outpost об ощущениях обязательно напишу позже. Спасибо. P.S. Пока ответ писал опять 212.220.76.170 в гости просился P.P.S. А наказать его никак нельзя?

sash

Вирус это.... Только заБЫЛ как он называется... у меня оень часто такая беда под NT системами... Все из-за того что антивируснмками не пользуюсь....

Башуров В.В.

Rimmer, а ведь ты тоже, пока в сеть с вирусом ходил, все соседние адреса сканировал и к кому то ломился червя подсадить - давай тебя накажем? :-) По нашим законам, кстати, вполне можно наказать - за распространение вредоносных программ. ;-)

RedHat

Похоже на Blast. У него криво переполнение в RPC реализовано. Хотя почему он с внешки коннектится? Система сваливается, когда он уже на компе прописался. Вообще это 90% RPC-DCOM баг (может что-нибудь посвежее). Червя можно прибить - похерить файл mslaugh.exe или отсюдова [\HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]. RemoveBlast от Symantec помогает. Пальцы ломать никому не надо - скорее всего тот чел не знает, что с его компа зараза прётся. Из-за этого червя прошлой зимой наш Usunet валялся - отрубали маршрутизаторы и тех, кто не пропатчился. Есть ещё вариант - менее вероятный. Про него говорить не буду (патамучта сикрет :). Патчиться надо в любом случае. Вообще в июле-августе в Качканаре было допИСды компов уязвимых на DCOM и LSASS - пользуй чужой инет кому охота (но мы сдержались, да, Cats?;) (шутка). Сплой

RedHat

Сплойтов навалом - даже с граф. интерфейсом под Винду, так что ума много не надо. 135-й порт. Можно закрыть файрволом (на НЕТБИОС и 139 сканает). А может кто-то и специально так развлекается Kaht'ом. Сумбурное получилось сообщение - спать хочу. Однако, через год после запуска червь дошёл до Качканара? Ух ты! Автор уж и сидит вроде, а дело живёт! Ну лана. Пока. Только ругаться опять не надо, а то знаю я ваши привычки.

DeN

поставь Pandu Platinum и никаких проблем не будет :))

fenix

Доброй ночи:))) Это однозначно вирус-червь и называется он Lovesan. Конечно это может быть и не он, но одна из его версий использующая ту же брешь... Я с ним столкнулся на второй день после его появления в нете (Вроде 08.08.2003г. не помню точно). И за это время пришлось избавить от него около сотни компов. Да интересный вирус на нём некоторые предприимчивые люди даже деньги зарабатывают (не буду оглашать кто но известный в нашем городе человек). Он одному человеку который попросил его избавить от этой проблемы (ну естественно далёкому от всего этого), сказал что у тебя мол материнская плата накрылась:) и приколите уговорил купить новую плату, содрал деньги за замену и ещё фиг знает за что... Но самое смешное проблема осталась:))) Как мне его было жалко когда он мне это рассказывал, он так работал аж целые 4 месяца!!! Инет по 50 секунд:*( УЖАС!!! Короче поставили XP до выхода в инет поставте SP1 и SP2 или хотябы заплатку от этого червячка с сайта microsoft. А если всё таки хапнули то надо или найти его самому ручками как было описано выше, но разные версии его маскируются по разному поэтому не мучайтесь и попытайтесь скачать или взять у кого то утилитку которая ищет и убивает их сама. Вот и всех делов. Ну и желательно юзать фаервол+антивирь. И будет вам счастье:) Если кому что надо пишите вышлю на мыло.

Rimmer

Люди Добрые я ценю вашу заботу но я уже фаерволом озаботился красота как в доте, тока как лог глянул ужаснулся 49 попыток вторжения IP 212.220..... там вариации действие: сканирование порта 445(вроде) А дальше аутпост его на Х.. отсылает А теперь как в песенке про буратино.... ..Скажите как его зовут???

RedHat

445??? Епт! SASSER!

Хватов В.Н.

Вот для примера http://ardzhan.km.ru/eject.htm, дави на ссылку и если сидиромчик выедет, то у Вас еще не все хорошо ... Если же не выедет, не радуйтесь, это не показатель, что у Вас всё гуд... Хитрых хакеров еще куча, а злостных вирусов еще больше...