Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
25.04.2005, 14:16
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Гляньте на приложенный пикчер. Что это за хрень хацкерская? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 14:41
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Вирь 100%. Причем работает, скорее всего, не исполняемым файлом, а библиотекой, подгружаемой Windows/Internet Explorer'ами. Возможно, повреждает антивир на данной машине, поэтому стоит запустить проверку антивирусом с другой или с компакт-диска. Проверка позволит узнать имя библиотеки, после чего выгрузка explorer'ов (обоих!) и удаление вручную. Если антивирь ничего не нашел, то качаем process explorer с www.sysinternals.com и смотрим то, что называется relocated dlls. Особое внимание - на оболочки (winexplorer, IE). Выискиваем подозрительные dll вручную. Или сюда кидаем, если есть сомнения. Был у нас такой вирус... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 14:45
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Закройтесь брандмауэром. Хоть каким-нибудь, в данном случае - порты с 135 по 139. Запретите пинги (так Вашу машину нашли). Ну, и поищите шпиона - просто для профилактики. Удачи! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:05
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Боюсь, они его через веб-страничку подцепили... Пока в Windows (с сервис- паками и заплатками) серьезных дырок, позволяющих влезть извне "внаглую" (даже по пингам :) ) не найдено. Разве что пароль кому "подарили". Т.е. вирус, скорее всего, банальный. Достаточно сетевой шнурок выдернуть, а файрволлами заняться потом, по излечении. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:10
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
2rrrrrrrrrr Ну да, может и так. Однако, пинги и попытки сканирования портов в логе файрвола появляются с удручающей регулярностью, так что м.б. просто после ответа на пинг отправили на 138 порт. Ну, или после посещения сайтика - на тот же порт ;). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:13
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Вот это да... Может дистрибутив (IE 6.1) зараженный? Самое "ужасное", что Нортон антивирь на это дело не реагирует. Большое спасибо за инфу. Но как бы его все-таки побыстрее выловить и прибить? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:21
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Всё же, порт 138 (и до кучи весь диапазон 135-139) - закрыт или нет? Вот пример "messenger spam": Stopping Advertisements with Messenger Service Titles Штука в том, что messenger работает по порту 138 UDP - т.е. авторизации не нужно, тупо выводит все датаграммы, которые принял - это нормальное поведение, дырой не является. Удачи! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:31
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
А в самом деле, выйдите из сети (шнур выньте) и подождите/поработайте за этим компьютером. Если "спам" больше не повторится, значит, прав Oleg_Martynov - это просто "рассылка", она неопасна и ее можно легко "прибить". Если сообщения продожатся - значит, словили зверушку. Кстати, ALERT - не имя вашего компьютера? Если нет, то, скорее всего, текст - фальшивое сообщение windows messenger, т.е. к нему отношения не имеет (тоже можно проверить, отключив службу сообщений. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:36
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Ну если ALERT это имя компутера, то поискать бы еще и SYSTEM, и если найдется - надавать по шее. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:40
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Да вроде все прикрыто. Странно, что на http://security.symantec.com эта машина была обозвана SAFE. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:43
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
scornНу если ALERT это имя компутера, то поискать бы еще и SYSTEM, и если найдется - надавать по шее. И с этой целью - бегом на вокзал - за билетами в Канаду или Зимбабве, где эти чудаки сидят... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:44
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Нет-нет. Это сообщение выскакивает очень редко: раз на дню и то не каждый день. Имя машины не ALERT. :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 15:52
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Если это сообщение не дублируется в журнале Application, то это точно не Messenger и скорее всего генерится при помощи заурядного скрипта. Можно попробовать установить аудит для Windows Script Host с целью выяснить, кто или что к нему обращаяется и откуда. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 16:03
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
В Журнале системы эта хрень дублируется. Источник: Application Popup. Всплывающее окно приложения: Служба сообщений : ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 16:05
|
|||
|---|---|---|---|
Alert от Службы Сообщений, так сказать |
|||
|
#18+
445 тоже надо закрыть. Начиная с Win2000 по 139-му общаются по имени, а по 445 по IP. Скорее всего именно 445 и виноват - откуда в инете его имя. А вот с IP проще гораздо. Posted via ActualForum NNTP Server 1.1 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 16:06
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Все равно последи за WSH. А еще луче, настрой для него разрешения, чтоб запускать скрипты мог только админ или специально заведенная для ентих целей учетка. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
25.04.2005, 17:02
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Еще раз большое всем спасибо за отклики. Будем "ужесточать". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.04.2005, 11:27
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
"Ужесточил". Значит так; дело было вот в чем (я надеюсь). При запуске IE, первым лезет в инет services.exe - на DNS (порт 53). Но впопыхах я ему (services.exe) разрешил доступ по всем портам - у меня Norton Firewall (сразу скажу, вещь непревзойденная). Сейчас сделал такой расклад для internet enabled applications: для IE & Outlook Express разрешены outbound connections по TCP; для services.exe разрешил in\outbound connections по TCP\UDP (так и было), но добавил ограничение - только по порту 53. Все остальные приложения вообще нафик заблокированы от инета. Но меня смущает роль services.exe для инет операций. Я думал, IE вполне самодостаточен для своей нормальной работы. ??? ====== Если тот гадский ALERT опять вылезет - сообщу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.04.2005, 12:17
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
services.exe - это родитель служб системы. Например, клиента TCP/IP Netbios, DNS и прочая и прочая. В частности - родитель Messenger. Это можно увидеть, например, process explorer-ом от sysinternals. Удачи! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.04.2005, 13:15
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Oleg_Martynovservices.exe - это родитель служб системы. Например, клиента TCP/IP Netbios, DNS и прочая и прочая. В частности - родитель Messenger. Это можно увидеть, например, process explorer-ом от sysinternals. Удачи! Ну чё сказать..... увидел-с.... Ж) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.04.2005, 12:11
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Больше я этот гадский алерт не видел (и вряд ли увижу). >для services.exe разрешил in\outbound connections по TCP\UDP >(так и было), но добавил ограничение - только по порту 53. Он ходит на DNS только по UDP; так что, TCP убрал - для "надежности". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.04.2005, 13:44
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
... но попытки были и не одна: This one time, the user has chosen to "block" communications Inbound UDP packet Local address,service is (0.0.0.0,1028) Remote address,service is (61.152.158.124,49660) Process name is "C:\WINNT\system32\services.exe" Дело в том, что тут некоторые товарищи ходють через меня на сайты... сами понимаете какие; короче, лично я на такие помойки не хожу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
12.06.2005, 13:35
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
Люди! Есть решение проблемы! Сделайте Windows Update!!! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
22.11.2005, 22:35
|
|||
|---|---|---|---|
|
|||
Alert от Службы Сообщений, так сказать |
|||
|
#18+
У меня тоже самое, но это скорее всего не вирус, поскольку компьютер был чист, только что установил лицинзионную Windows 2000 и успел зайти только на извесную поисковую систему как появилось это сообщение. Как объясните? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=26&mobile=1&tid=1511706]: |
0ms |
get settings: |
9ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
28ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
66ms |
get tp. blocked users: |
2ms |
| others: | 217ms |
| total: | 352ms |
| 0 / 0 |
