Кто-то вырубил Outpost Firewall?
5325
25
ВинХР + Outpost Firewall.
Подключен к локальной сети.

В общем, сегодня перед уходом на работу узрел следующую ситуевину:
Система поставлена совсем недавно. Перед втыканием сетевого кабеля был поставлен Аутпост. Запрещено было все, чтобы потом добавить чего надо.
Сегодня решил разрешить cmd, дабы проверять видимость нужных машин посредством пинга.
В процессе поиска пути к файлу вылетает ошибка: мол, ля-ля, еррор, отправьте лог на адрес Агнитума. Тут же запускаю Аутпоста по-новой.
И вижу в списке "сетевая активность" файл d0ihbffi.exe. Я ему тут же "заблокировать до перезагрузки".
Висит один такой и ломится по хттп, а еще один периодически появляется и тут же исчезает.
В таск менеджере в списке процессов нет такого.

Какие будут мнения?
Гугль и яндекс таких слов не знают.
Да какие тут могут быть мнения - подцепил ты что-то, вот и все...:улыб:
натрави на эти файлы Веба или Каспермского, может что скажут
Max_13
Ну это-то понятно....
Вопрос: каким образом, если все было заблокировано?
Или он действительно Аутпоста заломал? :eek:

Вечером проверюсь, понятное дело....
Subba
Есть подходящая кандидатура?
Автораны все проверил? Через аутпост проверь где находятся эти файлы, потом в безопасном режиме снеси.
Настройки Outpost Firewall нужно закрывать паролем, существуют трояны которые могут создавать для себя разрешения. Об этой уязвимости было сообщение на офсайте Outpost Firewall.
Silvia
ты думаешь, если все заблокировано, то трой не может на машину пробраться?:улыб:
ну вот ты каким браузером пользуешься?
Есть подходящая кандидатура?
Ты сам!
Deft
Проверил автораны в HKLM и HKCU --- нет там. В папке "Автозагрузка" --- тоже :).
Меня немного напрягает, что в списке процессов нет его.
Надо будет посмотреть не через виндовый task manager а через TaskInfo (хорошая программка такая) --- там намного больше показывается.

2 Silvia:
Пароль сделаю.

2 Max_13:
Браузер --- Опера.
Через msconfig смотрел? И нафига тебе таскменеджер, если нужно просто снести файлы. Ты же в аутпосте правила создаешь, вот там и посмотри пути к файлам. Потом зайди в безопасном режиме, там никакие левые процессы при старте грузиться не будут, и снеси все.
Deft
Смотрел и через msconfig, и через regedit.
В таск менеджере просто хотел для начали прибить процесс.
quaker
2subba: LOL!!!!

Может он просто через дырку в Опере пролез? а?:улыб:
или ты что-нить левое запустил?

Ты проскань машину антивирусом...
Max_13
Да просканю, просканю.... тока вот до дому доберусь....:улыб:

Хрен его знает, как он пролез, ибо в инет с машины после установки никто не выходил, посещался только сайт самой сетки, который и до этого посещался туеву хучу раз.
Левого ничего не запускал, только установил стандартный набор программ, который и перед этим несколько раз ставился.

Из "необычного" установил только "ОпенОффис 1.1.4 фор Виндовс", но че-то не хочется думать, что это он:миг:
Докладываю.

Очень хитрая тварь. Аутпост кажет, что находится он в папке windows/system32. А Проводник его в упор не видит. Ну нет такого и все!
Фигня, безопасный режим все покажет.... ага, показал. Есть такой! Но, как и следовало ожидать, простое удаление ни к чему не привело --- при перезагрузке вылез снова.
Хрен с тобой, у нас же на соседней тачке есть Нортон Антивирус 2005 с апдейтом от 22.04.05!
Однако добрый дядя Нортон сказал, что единственный нехороший файл на моем винте --- это кряк к нему самому....

Что еще подскажет многоуважаемый all?
Кроме форматирования винта и переустановки системы с нуля....
После удаления тела гадости и вычищания реестра от нее, ком перегружай ресетом, а не штатным завершением работы. Грубо, да. Но иначе никак. Последнии гадости получая от системы сигнал на завершение работы проверяют на месте ли их тело и наличевсвтуют ли записи в реесте, и если нет - прописывают их заново. А по ресету им это в голову даже не придет.:миг: :ха-ха!:
А что подсказывать. Я уже устал повторять, что база к антивирусу должна быть максимум "вчерашняя". А не месячной давности...
PN
Ок.
Качаю обновление от 15.05.2005....
Ага. Если найдет, отпиши, как он его называет?

ЗЫ. Пост № 3000. Гуру? :-)
Ох, Поручик... ты уж не обижайся, но в вашем Академе "все какие-то, извините, блаженные" (с)

Эта дрянь пользует для прохода дыру, заплатка для которой доступна с прошлой весны. Первым, что массово пользовало эту уязвимость была такая дрянь, как SASSER...

Ведь не раз говорено же, что заплатки, хотя бы критические, НАДО ставить и очень сразу. MS, кста, на этот класс заплаток даже оставили возсожность патчить нелегальные версии. ибо защита важнее, они жадные, но не дураки... И на Windows Security рассылку надо подписаться. Хотя бы у той же MS или Symantec... Благо, они и по-русски присылаются... Со ссылками, рекомендациями и обзорами...

Сидеть в огромной локальной сети и так наивно ничего не боятся...

ЗЫ. Понял теперь необходимость как минимум ежесуточного обновления антивируса?
PN
>>> Ох, Поручик... ты уж не обижайся, но в вашем Академе "все какие-то, извините, блаженные" (с)

Мы не обижаемся.
Нам это как комплимент :ха-ха!:

>>> Эта дрянь пользует для прохода дыру, заплатка для которой доступна с прошлой весны. Первым, что массово пользовало эту уязвимость была такая дрянь, как SASSER...

Да я вроде ставил заплатки от бластера и от сассера.... хотя стопроцентно утверждать не буду, ибо была уже глубокая ночь, мог вполне и забыть поставить....
Кста, давно хотел спросить: та, которая от сассера (KB835732), "включает в себя" ту, которая от бластера (KB823980)?

>>> Сидеть в огромной локальной сети и так наивно ничего не боятся...

А я боюсь! Потому и файерволюсь....
А теперь Аутпост при попытке установки говорит: "у Вас стоит Нортон, и если поставить еще Аутпост, то будет Вам нехорошо" :).
Теперь я еще больше боюсь.... неуютно как-то без файервола.... :безум:

>>> Понял теперь необходимость как минимум ежесуточного обновления антивируса?

Ага, пример нагляднее некуда.... :live:
Огромный человеческий пасиб! :pivo:
Аут ругается, наверное, потому что стоит Symantec целиком? Вместе с Internet Security?

Заплатка от Sasser не включает в себя заплатку от MSBlast. Если какая-то заплатка у МS меняется, они на странице старой ставят ссылку на нвую и пишут, что поменялось и что добавилось. И вообще, SP2 надо ставить и не греть голову старыми дырами...

ЗЫ. 13 числа сего месяца MS отправили на свое внутреннее тестирование Windows OneCare - новый пакет, включающий в себя антивирус, антиспай и некий новый файрволл... Я давно еще говорил, что их антивирь базируется на GeCAD RAV, что лично для меня заставит этот пакет, как минимум глубоко потестировать, ибо на RAV я официально ездил 3 года без замечаний - очень хороший антивирус был до продажи...
PN
Ага, Нортон полностью стоит....
Чего ему, Internet Worm protection отрубить?

СП2 я поставил как-то.... активировал вроде --- все ок.
Тока через пару недель он мне заявил: "надо активировать в течение 7 дней, иначе придется сасать..."
Запускаю активатор --- а он мне "у Вас все активировано".

Буквально сегодня вот надыбал дистриб WinXpProfCorpSP2.
Тока лениво как-то переставлять заново.... :безум: