Tem Опубликовано 3 августа, 2009 · Жалоба Сегодня несколько клиентов начали жаловаться, что не открываются станицы ( аська, скайп и еще пара софтин пашут отлично), пингы проходят нормально. При выезде на место выяснилось, что все пинги идут на ип 207.69.188.186 . Из антивирей стоят касперы и НОДы, прогнал еще парой антивирусов (CureIt и портабле каспера), в ответ тишина. Если подключиться в порт медиаконвертора и под его логином (pppoe) своим ноутом на клиентской стороне, то все работает без проблем. Кто-нить с такой гадостью сталкивался ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uraeus Опубликовано 3 августа, 2009 · Жалоба http://zyxel.ru/content/support/knowledgebase/KB-1228 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 3 августа, 2009 · Жалоба Трассировка маршрута к ns2.mindspring.com [207.69.188.186] с максимальным числом прыжков 30: 11 153 ms 153 ms 161 ms ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66] 12 291 ms 261 ms 298 ms xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37] 13 419 ms 390 ms 394 ms xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118] 14 308 ms 309 ms 309 ms bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33] 15 327 ms 324 ms 328 ms bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73] 16 446 ms 401 ms 399 ms cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158] 17 325 ms 323 ms 331 ms dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4] 18 321 ms 324 ms 325 ms ns2.mindspring.com [207.69.188.186] Похоже, что Ваши клиенты сходили на какой-то сайт. Поверяйте у больных сетевые настройки и возвращайте взад то, что должно быть. Вариант прописан выше. У мня вместо прописанного в зикселеской базе выдает такое имя: http://tw.yahoo.com/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 3 августа, 2009 (изменено) · Жалоба 1. Зухели не юзаю, да и модемы вообще, схема такая ( клиент-медиаконвертор-медиаконвертор-коммутатор) 2. почему ето не срабатывает на моем ноуте, который я втыкаю на стороне клиента 3. такая проблема не у всех клиентов, а только у нескольких Трассировка маршрута к ns2.mindspring.com [207.69.188.186] с максимальным числом прыжков 30: 11 153 ms 153 ms 161 ms ae-0.m7-ar2.msk.ip.rostelecom.ru [87.226.139.66] 12 291 ms 261 ms 298 ms xe320-201.RT.M9.MSK.RU.retn.net [87.245.255.37] 13 419 ms 390 ms 394 ms xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118] 14 308 ms 309 ms 309 ms bor01-ge-1-1.va-ashburn0.ne.earthlink.net [209.86.83.33] 15 327 ms 324 ms 328 ms bor02-so-3-1.ga-atlanta0.ne.earthlink.net [209.165.110.73] 16 446 ms 401 ms 399 ms cor01-vlan10.ga-atlanta0.ne.earthlink.net [207.69.223.158] 17 325 ms 323 ms 331 ms dir03-vl-96.ga-atlanta0.ne.earthlink.net [209.165.96.4] 18 321 ms 324 ms 325 ms ns2.mindspring.com [207.69.188.186] Похоже, что Ваши клиенты сходили на какой-то сайт. возможно.... интересует как ету гадость прибитьЗЫ: один щас переставил винду начисто, но проблема осталась Изменено 3 августа, 2009 пользователем Tem Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 3 августа, 2009 · Жалоба Между компьютером и компом какого-нибудь мыльничного или писюкового роутера нет у потерпевшего переустановщика винды? Могло закешироваться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 3 августа, 2009 · Жалоба нет ..только пара моих свичей (DES-3028) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 4 августа, 2009 · Жалоба c:\windows\system32\drivers\etc\hosts не натолкнет на ответ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 4 августа, 2009 · Жалоба Блин, сколько можно уже! Проверяем работоспособность DNS пингами! Давайте проверять наличие в сети питания электричества конденсаторами на 2Ф. Делай nslookup тахернякотораянеработает Потом анализируй, что отдаёт твой/вышестоящий ДНС и что на входе получает ping. Если различаются - man hosts, man ipconfig (в части flushdns). И вообще, результаты выводов команд сюда, после думать уже будем. А то по фотографии, тем более черно-белой, тем более с хреновым качеством, тем более непонятно какого объекта, который подлежит лечению (даже, видимо, следствию)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 4 августа, 2009 · Жалоба Меня несколько удивило то, что свежеустановленная на отформативный диск винда после подключения к сети первым лелом поперлась на тот же адрес. И откуда она могла его взять? Может все же стоит порыть операторскую инфрасруктуру? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Britney Опубликовано 4 августа, 2009 · Жалоба сомневаюсь на счет форматирования... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 4 августа, 2009 · Жалоба Не ужто поверх старой, типа обновить? Верится с трудом, ибо это уже просто клиника... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 5 августа, 2009 · Жалоба Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами. Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию. Курить до просветления слово "руткит". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IvanI Опубликовано 5 августа, 2009 · Жалоба Касперу противопоказано такое издевательство - можно размножить пакость. http://www.freedrweb.com/cureit/ в безопасном режиме(всякую пакость о которой будут вопросы при загрусзке - незагружать) Если непомогло - http://virusinfo.info/pravila.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Px- Опубликовано 5 августа, 2009 · Жалоба Достаточно просто загрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 5 августа, 2009 · Жалоба Достаточно простозагрузится с live-cd и проверить систему бесплатными утилитами от Кошмарского или Веба, и ничего разбирать не надо Болт на 22.....Базы обновлений должны быть не старее 1 часа, и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
++k Опубликовано 5 августа, 2009 · Жалоба о_О появились вирусы на линукс? антивирусы уже давно есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Px- Опубликовано 5 августа, 2009 · Жалоба Болт на 22.....hands.dllБазы обновлений должны быть не старее 1 часаКто-то мешает выйти с live-cd в интернет?и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС.Вот эту сентенцию не уловил. Мы грузимся с CD, винт при этом на предмет загрузки не дёргается. Или речь о чём-то другом? Если да, то желательно подробнее, с пояснениями почему указанный вариант невозможен в случае "подключить его в НЕЗАРАЖЕНУЮ" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 5 августа, 2009 · Жалоба страшные руткиты сидящие в биосе винта? А страшных руткитов в конденсаторах блока питания еще не было? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 августа, 2009 · Жалоба , и винт инициализировать НЕЛЬЗЯ до старта антивируса - руткит сидит и ждет, как инициализировали винт - руткит в памяти ДО инициализации ядра ОС. Свят свят свят, какой страшный програм... Но тогда винт вообще подключать нельзя.. Как только антивирус решить проверить файл, так файл окажется в памяти межу прочим.... Анализировать данные на диске, не читая их в память, не возможно, как бы. Да и винт то "инициализировать" надо будет. С какого будуна при загрузке с лайв сиди чтото будет выполняться с жесткого диска ? (нет, конечно, при желании, автор лафв сиди мог бы придуимть такую "услугу", но зачем?) А страшных руткитов в конденсаторах блока питания еще не было? +1.. 20 лет прошло, а сказки все теже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 5 августа, 2009 · Жалоба c:\windows\system32\drivers\etc\hosts не натолкнет на ответ? Уверен на 99%, что ответ кроется там. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 5 августа, 2009 · Жалоба 1. При старте ОС инициализируется оборудование, и хотите Вы этого, или нет - зараженный винт будет проинициализирован, из него будет считана таблица разделов, и выполнен некий вредоносный код, который инициализирует чтение и выполнение руткита. 2. Исходя из пункта 1 - винт нужно втыкать "на горячую", уже после инициализации ядра ОС и антивируса. 3. Файл действительно считывается в память, но уже при РАБОТАЮЩЕМ антивирусе, и сразу же будет или вылечен или удален, если в этот момент антивирус еще не будет инициализирован - в памяти появится руткит, который НЕ БУДЕТ ОБНАРУЖЕН ни каким антивирусом, если кто-то не понял, что такое руткит, и почему его не может быть в блоке питания, но может быть даже в БИОСе - гугль в помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 5 августа, 2009 · Жалоба Достаточно просто вытащить винт из зараженой машины, и подключить его в НЕЗАРАЖЕНУЮ, с предустановленным Касперским с самыми свежими базами.Включать "на горячую", при помощи любого кармана для винтов, затем в диспетчере устройств обновить конфигурацию. Курить до просветления слово "руткит". Это не "руткит", скорей всего обыкновенный фейк вконтакте или подобного сайта. Если это так, то каспер и прочие антивирусы тут ничем не помогут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Px- Опубликовано 5 августа, 2009 · Жалоба выполнен некий вредоносный код Название вируса в студию. По остальному позже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 5 августа, 2009 (изменено) · Жалоба Вообще-то BackDoor.MaosBoot Только itl2044 по молодости и с перепугу перепутал руткит с буткитом. Что, однако, не отменяет того факта, что, судя по описанию, указанный вирус работал только в случае запуска MBR, а не считывания, которое происходит во всех более-менее известных на сегодня ОС (что проистекает из необходимости для этого вируса инициировать перезагрузку контупера после инфицирования). Изменено 5 августа, 2009 пользователем GateKeeper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 5 августа, 2009 · Жалоба Ничего я не путал, при инициализации винта считывается процедура выполнения кода по адресу хххх, а сам код считан из таблицы размещения файлов, причем понимаются все известные форматы, именно поэтому на незараженной машине - "невидно" файлов в разделе. Таких вирусов - тысячи, и все они используют одинаковые бекдоры в системе инициализации винта. Есть более изощреные, ориентированые на конкретные модели винчестеров - руткит прописывается в нулевой трек винта - и инициализирует СВОЮ подпрограмму, именно поэтому такие винты даже переразбивать бесполезно - только "ловлевел формат". Но такие извраты - заказные, для адресного заражения - за свою недолгую жизнь видел всего 3 таких винта, 2 из них были IBM, один - гнусмас. Делалось это для получения доступа к компютерам высших чинов в управлении. Для ботнетов достаточно простой инициализации подпрограммы для подстановки в стек tcp-ip одного (заказаного) айпишника на все ДНС запросы. Причем командой flushdns это не лечится, так же как и командой sock reset. Самый простой путь лечения я указал выше, хотя можно прибегнуть к переразбивке разделов винта, но при этом потеряются ВСЕ данные на диске. На Касперском я акцентировал внимание не просто так, в тех тяжелых условиях работы, в которых мы работаем - он не подводил ни разу, в отличии от НОДа или др ВЕБа (последний - вообще друшляк). Я конечно понимаю, что сообщать прохожим - что перед ними грабли - дело не благодарное, но всетаки, может кто-то столкнувшись с такой проблемой, прочитает архив форума, и БЕЗ голоной боли решит свою проблему гарантированно и без особых потерь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...