Alert от Службы Сообщений, так сказать / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / Alert от Службы Сообщений, так сказать

25 сообщений из 34, страница 1 из 2

все

Alert от Службы Сообщений, так сказать

#33033378

heizer

Гость

Гляньте на приложенный пикчер. Что это за хрень хацкерская?

...

Рейтинг:

0 / 0

25.04.2005, 14:16

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033459

rrrrrrrrrr

Участник

Откуда: РТ

Сообщения: 6 388

Рейтинг: 0 / 0

Вирь 100%. Причем работает, скорее всего, не исполняемым файлом, а библиотекой, подгружаемой Windows/Internet Explorer'ами. Возможно, повреждает антивир на данной машине, поэтому стоит запустить проверку антивирусом с другой или с компакт-диска. Проверка позволит узнать имя библиотеки, после чего выгрузка explorer'ов (обоих!) и удаление вручную. Если антивирь ничего не нашел, то качаем process explorer с www.sysinternals.com и смотрим то, что называется relocated dlls. Особое внимание - на оболочки (winexplorer, IE). Выискиваем подозрительные dll вручную. Или сюда кидаем, если есть сомнения. Был у нас такой вирус...

...

Рейтинг:

0 / 0

25.04.2005, 14:41

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033469

Oleg_Martynov

Участник

Откуда: Бокситогорск, Лен. обл.

Сообщения: 885

Рейтинг: 0 / 0

Закройтесь брандмауэром. Хоть каким-нибудь, в данном случае - порты с 135 по 139. Запретите пинги (так Вашу машину нашли). Ну, и поищите шпиона - просто для профилактики.
Удачи!

...

Рейтинг:

0 / 0

25.04.2005, 14:45

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033551

rrrrrrrrrr

Участник

Откуда: РТ

Сообщения: 6 388

Рейтинг: 0 / 0

Боюсь, они его через веб-страничку подцепили... Пока в Windows (с сервис- паками и заплатками) серьезных дырок, позволяющих влезть извне "внаглую" (даже по пингам :) ) не найдено. Разве что пароль кому "подарили". Т.е. вирус, скорее всего, банальный. Достаточно сетевой шнурок выдернуть, а файрволлами заняться потом, по излечении.

...

Рейтинг:

0 / 0

25.04.2005, 15:05

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033569

Oleg_Martynov

Участник

Откуда: Бокситогорск, Лен. обл.

Сообщения: 885

Рейтинг: 0 / 0

2rrrrrrrrrr
Ну да, может и так. Однако, пинги и попытки сканирования портов в логе файрвола появляются с удручающей регулярностью, так что м.б. просто после ответа на пинг отправили на 138 порт. Ну, или после посещения сайтика - на тот же порт ;).

...

Рейтинг:

0 / 0

25.04.2005, 15:10

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033587

heizer

Гость

Вот это да... Может дистрибутив (IE 6.1) зараженный?
Самое "ужасное", что Нортон антивирь на это дело не реагирует.

Большое спасибо за инфу.
Но как бы его все-таки побыстрее выловить и прибить?

...

Рейтинг:

0 / 0

25.04.2005, 15:13

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033621

Oleg_Martynov

Участник

Откуда: Бокситогорск, Лен. обл.

Сообщения: 885

Рейтинг: 0 / 0

Всё же, порт 138 (и до кучи весь диапазон 135-139) - закрыт или нет?
Вот пример "messenger spam":
Stopping Advertisements with Messenger Service Titles
Штука в том, что messenger работает по порту 138 UDP - т.е. авторизации не нужно, тупо выводит все датаграммы, которые принял - это нормальное поведение, дырой не является.
Удачи!

...

Рейтинг:

0 / 0

25.04.2005, 15:21

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033655

rrrrrrrrrr

Участник

Откуда: РТ

Сообщения: 6 388

Рейтинг: 0 / 0

А в самом деле, выйдите из сети (шнур выньте) и подождите/поработайте за этим компьютером. Если "спам" больше не повторится, значит, прав Oleg_Martynov - это просто "рассылка", она неопасна и ее можно легко "прибить". Если сообщения продожатся - значит, словили зверушку. Кстати, ALERT - не имя вашего компьютера? Если нет, то, скорее всего, текст - фальшивое сообщение windows messenger, т.е. к нему отношения не имеет (тоже можно проверить, отключив службу сообщений.

...

Рейтинг:

0 / 0

25.04.2005, 15:31

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033674

scorn

Гость

Ну если ALERT это имя компутера, то поискать бы еще и SYSTEM, и если найдется - надавать по шее.

...

Рейтинг:

0 / 0

25.04.2005, 15:36

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033680

heizer

Гость

Да вроде все прикрыто.
Странно, что на http://security.symantec.com эта машина была обозвана SAFE.

...

Рейтинг:

0 / 0

25.04.2005, 15:40

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033689

rrrrrrrrrr

Участник

Откуда: РТ

Сообщения: 6 388

Рейтинг: 0 / 0

scornНу если ALERT это имя компутера, то поискать бы еще и SYSTEM, и если найдется - надавать по шее. И с этой целью - бегом на вокзал - за билетами в Канаду или Зимбабве, где эти чудаки сидят...

...

Рейтинг:

0 / 0

25.04.2005, 15:43

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033696

heizer

Гость

Нет-нет.
Это сообщение выскакивает очень редко: раз на дню и то не каждый день.

Имя машины не ALERT. :)

...

Рейтинг:

0 / 0

25.04.2005, 15:44

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033713

scorn

Гость

Если это сообщение не дублируется в журнале Application, то это точно не Messenger и скорее всего генерится при помощи заурядного скрипта. Можно попробовать установить аудит для Windows Script Host с целью выяснить, кто или что к нему обращаяется и откуда.

...

Рейтинг:

0 / 0

25.04.2005, 15:52

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033748

heizer

Гость

В Журнале системы эта хрень дублируется. Источник: Application Popup.

Всплывающее окно приложения: Служба сообщений :

...

Рейтинг:

0 / 0

25.04.2005, 16:03

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033755

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

445 тоже надо закрыть. Начиная с Win2000 по 139-му общаются по имени, а по 445 по IP. Скорее всего именно 445 и виноват - откуда в инете его имя. А вот с IP проще гораздо.
Posted via ActualForum NNTP Server 1.1

...

Рейтинг:

0 / 0

25.04.2005, 16:05

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033759

scorn

Гость

Все равно последи за WSH. А еще луче, настрой для него разрешения, чтоб запускать скрипты мог только админ или специально заведенная для ентих целей учетка.

...

Рейтинг:

0 / 0

25.04.2005, 16:06

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33033971

heizer

Гость

Еще раз большое всем спасибо за отклики. Будем "ужесточать".

...

Рейтинг:

0 / 0

25.04.2005, 17:02

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33035207

heizer

Гость

"Ужесточил".
Значит так; дело было вот в чем (я надеюсь).
При запуске IE, первым лезет в инет services.exe - на DNS (порт 53).
Но впопыхах я ему (services.exe) разрешил доступ по всем портам -
у меня Norton Firewall (сразу скажу, вещь непревзойденная).

Сейчас сделал такой расклад для internet enabled applications:
для IE & Outlook Express разрешены outbound connections по TCP;
для services.exe разрешил in\outbound connections по TCP\UDP
(так и было), но добавил ограничение - только по порту 53.

Все остальные приложения вообще нафик заблокированы от инета.
Но меня смущает роль services.exe для инет операций. Я думал,
IE вполне самодостаточен для своей нормальной работы. ???
======
Если тот гадский ALERT опять вылезет - сообщу.

...

Рейтинг:

0 / 0

26.04.2005, 11:27

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33035402

Oleg_Martynov

Участник

Откуда: Бокситогорск, Лен. обл.

Сообщения: 885

Рейтинг: 0 / 0

services.exe - это родитель служб системы. Например, клиента TCP/IP Netbios, DNS и прочая и прочая. В частности - родитель Messenger.
Это можно увидеть, например, process explorer-ом от sysinternals.
Удачи!

...

Рейтинг:

0 / 0

26.04.2005, 12:17

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33035617

heizer

Гость

Oleg_Martynovservices.exe - это родитель служб системы. Например, клиента TCP/IP Netbios, DNS и прочая и прочая. В частности - родитель Messenger.
Это можно увидеть, например, process explorer-ом от sysinternals.
Удачи!
Ну чё сказать..... увидел-с.... Ж)

...

Рейтинг:

0 / 0

26.04.2005, 13:15

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33042529

heizer

Гость

Больше я этот гадский алерт не видел (и вряд ли увижу).

>для services.exe разрешил in\outbound connections по TCP\UDP
>(так и было), но добавил ограничение - только по порту 53.

Он ходит на DNS только по UDP; так что, TCP убрал - для "надежности".

...

Рейтинг:

0 / 0

29.04.2005, 12:11

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33042821

heizer

Гость

... но попытки были и не одна:

This one time, the user has chosen to "block" communications
Inbound UDP packet
Local address,service is (0.0.0.0,1028)
Remote address,service is (61.152.158.124,49660)
Process name is "C:\WINNT\system32\services.exe"

Дело в том, что тут некоторые товарищи ходють через меня на сайты...
сами понимаете какие; короче, лично я на такие помойки не хожу.

...

Рейтинг:

0 / 0

29.04.2005, 13:44

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33113567

Anriet

Гость

Люди! Есть решение проблемы! Сделайте Windows Update!!!

...

Рейтинг:

0 / 0

12.06.2005, 13:35

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33393566

Andr-ey

Гость

У меня тоже самое, но это скорее всего не вирус, поскольку компьютер был чист, только что установил лицинзионную Windows 2000 и успел зайти только на извесную поисковую систему как появилось это сообщение. Как объясните?

...

Рейтинг:

0 / 0

22.11.2005, 22:35

| Ответить | Цитировать | Написать

Alert от Службы Сообщений, так сказать

#33393745

rrrrrrrrrr

Участник

Откуда: РТ

Сообщения: 6 388

Рейтинг: 0 / 0

Похоже, все предыдущие объяснения - впустую :). Смысл вышеописанного - заплатку поставьте или отключите службу сообщений. Или файрволлом закройтесь.

...

Рейтинг:

0 / 0

23.11.2005, 08:31

| Ответить | Цитировать | Написать

25 сообщений из 34, страница 1 из 2

все

Форумы / Windows [игнор отключен] [закрыт для гостей] / Alert от Службы Сообщений, так сказать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&fpage=496&tid=1511706]:	0ms
get settings:	8ms
get forum list:	16ms
check forum access:	2ms
check topic access:	2ms
track hit:	23ms
get topic data:	10ms
get forum data:	2ms
get page messages:	65ms
get tp. blocked users:	1ms
others:	201ms

total:	330ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы