Кто-то вырубил Outpost Firewall?
5509
25
Поручик Голицын
шатун сибирский обыкновенный
ВинХР + Outpost Firewall.
Подключен к локальной сети.
В общем, сегодня перед уходом на работу узрел следующую ситуевину:
Система поставлена совсем недавно. Перед втыканием сетевого кабеля был поставлен Аутпост. Запрещено было все, чтобы потом добавить чего надо.
Сегодня решил разрешить cmd, дабы проверять видимость нужных машин посредством пинга.
В процессе поиска пути к файлу вылетает ошибка: мол, ля-ля, еррор, отправьте лог на адрес Агнитума. Тут же запускаю Аутпоста по-новой.
И вижу в списке "сетевая активность" файл d0ihbffi.exe. Я ему тут же "заблокировать до перезагрузки".
Висит один такой и ломится по хттп, а еще один периодически появляется и тут же исчезает.
В таск менеджере в списке процессов нет такого.
Какие будут мнения?
Гугль и яндекс таких слов не знают.
Подключен к локальной сети.
В общем, сегодня перед уходом на работу узрел следующую ситуевину:
Система поставлена совсем недавно. Перед втыканием сетевого кабеля был поставлен Аутпост. Запрещено было все, чтобы потом добавить чего надо.
Сегодня решил разрешить cmd, дабы проверять видимость нужных машин посредством пинга.
В процессе поиска пути к файлу вылетает ошибка: мол, ля-ля, еррор, отправьте лог на адрес Агнитума. Тут же запускаю Аутпоста по-новой.
И вижу в списке "сетевая активность" файл d0ihbffi.exe. Я ему тут же "заблокировать до перезагрузки".
Висит один такой и ломится по хттп, а еще один периодически появляется и тут же исчезает.
В таск менеджере в списке процессов нет такого.
Какие будут мнения?
Гугль и яндекс таких слов не знают.
Max_13
veteran
Да какие тут могут быть мнения - подцепил ты что-то, вот и все...
натрави на эти файлы Веба или Каспермского, может что скажут
натрави на эти файлы Веба или Каспермского, может что скажут
Поручик Голицын
шатун сибирский обыкновенный
Ну это-то понятно....
Вопрос: каким образом, если все было заблокировано?
Или он действительно Аутпоста заломал?
Вечером проверюсь, понятное дело....
Вопрос: каким образом, если все было заблокировано?
Или он действительно Аутпоста заломал?
Вечером проверюсь, понятное дело....
Поручик Голицын
шатун сибирский обыкновенный
Есть подходящая кандидатура?
Deft
activist
Автораны все проверил? Через аутпост проверь где находятся эти файлы, потом в безопасном режиме снеси.
Silvia
experienced
Настройки Outpost Firewall нужно закрывать паролем, существуют трояны которые могут создавать для себя разрешения. Об этой уязвимости было сообщение на офсайте Outpost Firewall.
Сейчас читают
Русская Wikipedia объявила забастовку и закрылась на сутки.
26355
173
Красота и беременность (часть 69)
109601
242
Селёдка
46554
84
ты думаешь, если все заблокировано, то трой не может на машину пробраться?
ну вот ты каким браузером пользуешься?
ну вот ты каким браузером пользуешься?
Subba
activist
Есть подходящая кандидатура?
Ты сам!
Ты сам!
Поручик Голицын
шатун сибирский обыкновенный
Проверил автораны в HKLM и HKCU --- нет там. В папке "Автозагрузка" --- тоже :).
Меня немного напрягает, что в списке процессов нет его.
Надо будет посмотреть не через виндовый task manager а через TaskInfo (хорошая программка такая) --- там намного больше показывается.
2 Silvia:
Пароль сделаю.
2 Max_13:
Браузер --- Опера.
Меня немного напрягает, что в списке процессов нет его.
Надо будет посмотреть не через виндовый task manager а через TaskInfo (хорошая программка такая) --- там намного больше показывается.
2 Silvia:
Пароль сделаю.
2 Max_13:
Браузер --- Опера.
Deft
activist
Через msconfig смотрел? И нафига тебе таскменеджер, если нужно просто снести файлы. Ты же в аутпосте правила создаешь, вот там и посмотри пути к файлам. Потом зайди в безопасном режиме, там никакие левые процессы при старте грузиться не будут, и снеси все.
Поручик Голицын
шатун сибирский обыкновенный
Смотрел и через msconfig, и через regedit.
В таск менеджере просто хотел для начали прибить процесс.
В таск менеджере просто хотел для начали прибить процесс.
2subba: LOL!!!!
Может он просто через дырку в Опере пролез? а?
или ты что-нить левое запустил?
Ты проскань машину антивирусом...
Может он просто через дырку в Опере пролез? а?
или ты что-нить левое запустил?
Ты проскань машину антивирусом...
Поручик Голицын
шатун сибирский обыкновенный
Да просканю, просканю.... тока вот до дому доберусь....
Хрен его знает, как он пролез, ибо в инет с машины после установки никто не выходил, посещался только сайт самой сетки, который и до этого посещался туеву хучу раз.
Левого ничего не запускал, только установил стандартный набор программ, который и перед этим несколько раз ставился.
Из "необычного" установил только "ОпенОффис 1.1.4 фор Виндовс", но че-то не хочется думать, что это он
Хрен его знает, как он пролез, ибо в инет с машины после установки никто не выходил, посещался только сайт самой сетки, который и до этого посещался туеву хучу раз.
Левого ничего не запускал, только установил стандартный набор программ, который и перед этим несколько раз ставился.
Из "необычного" установил только "ОпенОффис 1.1.4 фор Виндовс", но че-то не хочется думать, что это он
Поручик Голицын
шатун сибирский обыкновенный
Докладываю.
Очень хитрая тварь. Аутпост кажет, что находится он в папке windows/system32. А Проводник его в упор не видит. Ну нет такого и все!
Фигня, безопасный режим все покажет.... ага, показал. Есть такой! Но, как и следовало ожидать, простое удаление ни к чему не привело --- при перезагрузке вылез снова.
Хрен с тобой, у нас же на соседней тачке есть Нортон Антивирус 2005 с апдейтом от 22.04.05!
Однако добрый дядя Нортон сказал, что единственный нехороший файл на моем винте --- это кряк к нему самому....
Что еще подскажет многоуважаемый all?
Кроме форматирования винта и переустановки системы с нуля....
Очень хитрая тварь. Аутпост кажет, что находится он в папке windows/system32. А Проводник его в упор не видит. Ну нет такого и все!
Фигня, безопасный режим все покажет.... ага, показал. Есть такой! Но, как и следовало ожидать, простое удаление ни к чему не привело --- при перезагрузке вылез снова.
Хрен с тобой, у нас же на соседней тачке есть Нортон Антивирус 2005 с апдейтом от 22.04.05!
Однако добрый дядя Нортон сказал, что единственный нехороший файл на моем винте --- это кряк к нему самому....
Что еще подскажет многоуважаемый all?
Кроме форматирования винта и переустановки системы с нуля....
Barlog
guru
После удаления тела гадости и вычищания реестра от нее, ком перегружай ресетом, а не штатным завершением работы. Грубо, да. Но иначе никак. Последнии гадости получая от системы сигнал на завершение работы проверяют на месте ли их тело и наличевсвтуют ли записи в реесте, и если нет - прописывают их заново. А по ресету им это в голову даже не придет. 
PN
ЙА ТИГОР
А что подсказывать. Я уже устал повторять, что база к антивирусу должна быть максимум "вчерашняя". А не месячной давности...
Поручик Голицын
шатун сибирский обыкновенный
Ок.
Качаю обновление от 15.05.2005....
Качаю обновление от 15.05.2005....
PN
ЙА ТИГОР
Ага. Если найдет, отпиши, как он его называет?
ЗЫ. Пост № 3000. Гуру? :-)
ЗЫ. Пост № 3000. Гуру? :-)
Поручик Голицын
шатун сибирский обыкновенный
Нашел, блин.
Вот он, зараза!
Вот он, зараза!
PN
ЙА ТИГОР
Ох, Поручик... ты уж не обижайся, но в вашем Академе "все какие-то, извините, блаженные" (с)
Эта дрянь пользует для прохода дыру, заплатка для которой доступна с прошлой весны. Первым, что массово пользовало эту уязвимость была такая дрянь, как SASSER...
Ведь не раз говорено же, что заплатки, хотя бы критические, НАДО ставить и очень сразу. MS, кста, на этот класс заплаток даже оставили возсожность патчить нелегальные версии. ибо защита важнее, они жадные, но не дураки... И на Windows Security рассылку надо подписаться. Хотя бы у той же MS или Symantec... Благо, они и по-русски присылаются... Со ссылками, рекомендациями и обзорами...
Сидеть в огромной локальной сети и так наивно ничего не боятся...
ЗЫ. Понял теперь необходимость как минимум ежесуточного обновления антивируса?
Эта дрянь пользует для прохода дыру, заплатка для которой доступна с прошлой весны. Первым, что массово пользовало эту уязвимость была такая дрянь, как SASSER...
Ведь не раз говорено же, что заплатки, хотя бы критические, НАДО ставить и очень сразу. MS, кста, на этот класс заплаток даже оставили возсожность патчить нелегальные версии. ибо защита важнее, они жадные, но не дураки... И на Windows Security рассылку надо подписаться. Хотя бы у той же MS или Symantec... Благо, они и по-русски присылаются... Со ссылками, рекомендациями и обзорами...
Сидеть в огромной локальной сети и так наивно ничего не боятся...
ЗЫ. Понял теперь необходимость как минимум ежесуточного обновления антивируса?
Поручик Голицын
шатун сибирский обыкновенный
>>> Ох, Поручик... ты уж не обижайся, но в вашем Академе "все какие-то, извините, блаженные" (с)
Мы не обижаемся.
Нам это как комплимент
>>> Эта дрянь пользует для прохода дыру, заплатка для которой доступна с прошлой весны. Первым, что массово пользовало эту уязвимость была такая дрянь, как SASSER...
Да я вроде ставил заплатки от бластера и от сассера.... хотя стопроцентно утверждать не буду, ибо была уже глубокая ночь, мог вполне и забыть поставить....
Кста, давно хотел спросить: та, которая от сассера (KB835732), "включает в себя" ту, которая от бластера (KB823980)?
>>> Сидеть в огромной локальной сети и так наивно ничего не боятся...
А я боюсь! Потому и файерволюсь....
А теперь Аутпост при попытке установки говорит: "у Вас стоит Нортон, и если поставить еще Аутпост, то будет Вам нехорошо" :).
Теперь я еще больше боюсь.... неуютно как-то без файервола....
>>> Понял теперь необходимость как минимум ежесуточного обновления антивируса?
Ага, пример нагляднее некуда....
Огромный человеческий пасиб!
Мы не обижаемся.
Нам это как комплимент
>>> Эта дрянь пользует для прохода дыру, заплатка для которой доступна с прошлой весны. Первым, что массово пользовало эту уязвимость была такая дрянь, как SASSER...
Да я вроде ставил заплатки от бластера и от сассера.... хотя стопроцентно утверждать не буду, ибо была уже глубокая ночь, мог вполне и забыть поставить....
Кста, давно хотел спросить: та, которая от сассера (KB835732), "включает в себя" ту, которая от бластера (KB823980)?
>>> Сидеть в огромной локальной сети и так наивно ничего не боятся...
А я боюсь! Потому и файерволюсь....
А теперь Аутпост при попытке установки говорит: "у Вас стоит Нортон, и если поставить еще Аутпост, то будет Вам нехорошо" :).
Теперь я еще больше боюсь.... неуютно как-то без файервола....
>>> Понял теперь необходимость как минимум ежесуточного обновления антивируса?
Ага, пример нагляднее некуда....
Огромный человеческий пасиб!
PN
ЙА ТИГОР
Аут ругается, наверное, потому что стоит Symantec целиком? Вместе с Internet Security?
Заплатка от Sasser не включает в себя заплатку от MSBlast. Если какая-то заплатка у МS меняется, они на странице старой ставят ссылку на нвую и пишут, что поменялось и что добавилось. И вообще, SP2 надо ставить и не греть голову старыми дырами...
ЗЫ. 13 числа сего месяца MS отправили на свое внутреннее тестирование Windows OneCare - новый пакет, включающий в себя антивирус, антиспай и некий новый файрволл... Я давно еще говорил, что их антивирь базируется на GeCAD RAV, что лично для меня заставит этот пакет, как минимум глубоко потестировать, ибо на RAV я официально ездил 3 года без замечаний - очень хороший антивирус был до продажи...
Заплатка от Sasser не включает в себя заплатку от MSBlast. Если какая-то заплатка у МS меняется, они на странице старой ставят ссылку на нвую и пишут, что поменялось и что добавилось. И вообще, SP2 надо ставить и не греть голову старыми дырами...
ЗЫ. 13 числа сего месяца MS отправили на свое внутреннее тестирование Windows OneCare - новый пакет, включающий в себя антивирус, антиспай и некий новый файрволл... Я давно еще говорил, что их антивирь базируется на GeCAD RAV, что лично для меня заставит этот пакет, как минимум глубоко потестировать, ибо на RAV я официально ездил 3 года без замечаний - очень хороший антивирус был до продажи...
Поручик Голицын
шатун сибирский обыкновенный
Ага, Нортон полностью стоит....
Чего ему, Internet Worm protection отрубить?
СП2 я поставил как-то.... активировал вроде --- все ок.
Тока через пару недель он мне заявил: "надо активировать в течение 7 дней, иначе придется сасать..."
Запускаю активатор --- а он мне "у Вас все активировано".
Буквально сегодня вот надыбал дистриб WinXpProfCorpSP2.
Тока лениво как-то переставлять заново....
Чего ему, Internet Worm protection отрубить?
СП2 я поставил как-то.... активировал вроде --- все ок.
Тока через пару недель он мне заявил: "надо активировать в течение 7 дней, иначе придется сасать..."
Запускаю активатор --- а он мне "у Вас все активировано".
Буквально сегодня вот надыбал дистриб WinXpProfCorpSP2.
Тока лениво как-то переставлять заново....