что за трипер

[Tem]

Сегодня несколько клиентов начали жаловаться, что не открываются станицы ( аська, скайп и еще пара софтин пашут отлично), пингы проходят нормально.

При выезде на место выяснилось, что все пинги идут на ип 207.69.188.186 . Из антивирей стоят касперы и НОДы, прогнал еще парой антивирусов (CureIt и портабле каспера), в ответ тишина. Если подключиться в порт медиаконвертора и под его логином (pppoe) своим ноутом на клиентской стороне, то все работает без проблем.

Кто-нить с такой гадостью сталкивался ?

[uraeus]

http://zyxel.ru/content/support/knowledgebase/KB-1228

[AlexBT]

Трассировка маршрута к ns2.mindspring.com [207.69.188.186]
с максимальным числом прыжков 30:

11   153 ms   153 ms   161 ms  ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66]
12   291 ms   261 ms   298 ms  xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37]
13   419 ms   390 ms   394 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
14   308 ms   309 ms   309 ms  bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33]
15   327 ms   324 ms   328 ms  bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73]
16   446 ms   401 ms   399 ms  cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158]
17   325 ms   323 ms   331 ms  dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4]
18   321 ms   324 ms   325 ms  ns2.mindspring.com [207.69.188.186]

 

Похоже, что Ваши клиенты сходили на какой-то сайт.

Поверяйте у больных сетевые настройки и возвращайте взад то, что должно быть.

Вариант прописан выше.

У мня вместо прописанного в зикселеской базе выдает такое имя: http://tw.yahoo.com/

 

[Tem]

1. Зухели не юзаю, да и модемы вообще, схема такая ( клиент-медиаконвертор-медиаконвертор-коммутатор)

2. почему ето не срабатывает на моем ноуте, который я втыкаю на стороне клиента

3. такая проблема не у всех клиентов, а только у нескольких

 

Трассировка маршрута к ns2.mindspring.com [207.69.188.186]
с максимальным числом прыжков 30:

11   153 ms   153 ms   161 ms  ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66]
12   291 ms   261 ms   298 ms  xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37]
13   419 ms   390 ms   394 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
14   308 ms   309 ms   309 ms  bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33]
15   327 ms   324 ms   328 ms  bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73]
16   446 ms   401 ms   399 ms  cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158]
17   325 ms   323 ms   331 ms  dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4]
18   321 ms   324 ms   325 ms  ns2.mindspring.com [207.69.188.186]

 

Похоже, что Ваши клиенты сходили на какой-то сайт.

возможно.... интересует как ету гадость прибить

ЗЫ: один щас переставил винду начисто, но проблема осталась

Edited August 3, 2009 by Tem

[AlexBT]

Между компьютером и компом какого-нибудь мыльничного или писюкового роутера нет у потерпевшего переустановщика винды? Могло закешироваться...

 

[Tem]

нет ..только пара моих свичей (DES-3028)

[martin74]

c:\windows\system32\drivers\etc\hosts не натолкнет на ответ?

[GateKeeper]

Блин, сколько можно уже! Проверяем работоспособность DNS пингами! Давайте проверять наличие в сети питания электричества конденсаторами на 2Ф.

Делай

nslookup тахернякотораянеработает

Потом анализируй, что отдаёт твой/вышестоящий ДНС и что на входе получает ping. Если различаются - man hosts, man ipconfig (в части flushdns). И вообще, результаты выводов команд сюда, после думать уже будем. А то по фотографии, тем более черно-белой, тем более с хреновым качеством, тем более непонятно какого объекта, который подлежит лечению (даже, видимо, следствию)...

[AlexBT]

Меня несколько удивило то, что свежеустановленная на отформативный диск винда после подключения к сети первым лелом поперлась на тот же адрес.

И откуда она могла его взять?

Может все же стоит порыть операторскую инфрасруктуру?

[Britney]

сомневаюсь на счет форматирования...

[AlexBT]

Не ужто поверх старой, типа обновить? Верится с трудом, ибо это уже просто клиника...

[itl2044]

Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.

Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию.

Курить до просветления слово "руткит".

[IvanI]

Касперу противопоказано такое издевательство - можно размножить пакость.

 

http://www.freedrweb.com/cureit/ в безопасном режиме(всякую пакость о которой будут вопросы при загрусзке - незагружать)

 

Если непомогло - http://virusinfo.info/pravila.html

[-Px-]

Достаточно просто

загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо

[itl2044]

Достаточно просто

загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо

Болт на 22.....

Базы обновлений должны быть не старее 1 часа, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

[++k]

о_О появились вирусы на линукс?

антивирусы уже давно есть

[-Px-]

Болт на 22.....

hands.dll

Базы обновлений должны быть не старее 1 часа

Кто-то мешает выйти с live-cd в интернет?

и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

Вот эту сентенцию не уловил. Мы грузимся с CD, винт при этом на предмет загрузки не дёргается. Или речь о чём-то другом? Если да, то желательно подробнее, с пояснениями почему указанный вариант невозможен в случае "подключить его в НЕЗАРАЖЕНУЮ"

[martin74]

страшные руткиты сидящие в биосе винта?

А страшных руткитов в конденсаторах блока питания еще не было?

[st_re]

, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.

Свят свят свят, какой страшный програм... Но тогда винт вообще подключать нельзя.. Как только антивирус решить проверить файл, так файл окажется в памяти межу прочим.... Анализировать данные на диске, не читая их в память, не возможно, как бы. Да и винт то "инициализировать" надо будет.

 

С какого будуна при загрузке с лайв сиди чтото будет выполняться с жесткого диска ? (нет, конечно, при желании, автор лафв сиди мог бы придуимть такую "услугу", но зачем?)

 

 

 

 

А страшных руткитов в конденсаторах блока питания еще не было?

+1..

 

20 лет прошло, а сказки все теже.

[SSD]

c:\windows\system32\drivers\etc\hosts не натолкнет на ответ?

Уверен на 99%, что ответ кроется там.

[itl2044]

1. При старте ОС инициализируется оборудование, и хотите Вы этого, или нет - зараженный винт будет проинициализирован, из него будет считана таблица разделов, и выполнен некий вредоносный код, который инициализирует чтение и выполнение руткита.

2. Исходя из пункта 1 - винт нужно втыкать "на горячую", уже после инициализации ядра ОС и антивируса.

3. Файл действительно считывается в память, но уже при РАБОТАЮЩЕМ антивирусе, и сразу же будет или вылечен или удален, если в этот момент антивирус еще не будет инициализирован - в памяти появится руткит, который НЕ БУДЕТ ОБНАРУЖЕН ни каким антивирусом, если кто-то не понял, что такое руткит, и почему его не может быть в блоке питания, но может быть даже в БИОСе - гугль в помощь!

[SSD]

Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.

Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию.

Курить до просветления слово "руткит".

Это не "руткит", скорей всего обыкновенный фейк вконтакте или подобного сайта. Если это так, то каспер и прочие антивирусы тут ничем не помогут.

[-Px-]

выполнен некий вредоносный код

Название вируса в студию. По остальному позже

[GateKeeper]

Вообще-то BackDoor.MaosBoot

 

Только itl2044 по молодости и с перепугу перепутал руткит с буткитом. Что, однако, не отменяет того факта, что, судя по описанию, указанный вирус работал только в случае запуска MBR, а не считывания, которое происходит во всех более-менее известных на сегодня ОС (что проистекает из необходимости для этого вируса инициировать перезагрузку контупера после инфицирования).

Edited August 5, 2009 by GateKeeper

[itl2044]

Ничего я не путал, при инициализации винта считывается процедура выполнения кода по адресу хххх, а сам код считан из таблицы размещения файлов, причем понимаются все известные форматы, именно поэтому на незараженной машине - "невидно" файлов в разделе.

Таких вирусов - тысячи, и все они используют одинаковые бекдоры в системе инициализации винта.

Есть более изощреные, ориентированые на конкретные модели винчестеров - руткит прописывается в нулевой трек винта - и инициализирует СВОЮ подпрограмму, именно поэтому такие винты даже переразбивать бесполезно - только "ловлевел формат".

Но такие извраты - заказные, для адресного заражения - за свою недолгую жизнь видел всего 3 таких винта, 2 из них были IBM, один - гнусмас.

Делалось это для получения доступа к компютерам высших чинов в управлении.

Для ботнетов достаточно простой инициализации подпрограммы для подстановки в стек tcp-ip одного (заказаного) айпишника на все ДНС запросы.

Причем командой flushdns это не лечится, так же как и командой sock reset.

Самый простой путь лечения я указал выше, хотя можно прибегнуть к переразбивке разделов винта, но при этом потеряются ВСЕ данные на диске.

На Касперском я акцентировал внимание не просто так, в тех тяжелых условиях работы, в которых мы работаем - он не подводил ни разу, в отличии от НОДа или др ВЕБа (последний - вообще друшляк).

Я конечно понимаю, что сообщать прохожим - что перед ними грабли - дело не благодарное, но всетаки, может кто-то столкнувшись с такой проблемой, прочитает архив форума, и БЕЗ голоной боли решит свою проблему гарантированно и без особых потерь.