7 ответов в теме

[@rbuz]

Мой ласковый и нежный зверь касперский стал блокировать фишиг-атаку с

http://98.126.116.2/cmd/config.bin

, я собственно решил заблокировать через "Сетевой экран" (версия 7.0 KIS) этот адрес, но получается, что отрубается инет. Т.е. соединение активно, но icq, ff, torrents не але. Через tracert позырил это flintshirebase.com, но сайта нет такого, whois показывает вот что я в этом не силен. Собственно:

1. Может кто в курсе что это за атака?
2. Почему отрубается инет при блокировании адреса через фаерволл?
3. Может я в фаерволе что не так настраиваю?

Сообщение отредактировал @rbuz: 21 Сентябрь 2009 - 08:33

[landlord]

Мой ласковый и нежный зверь касперский стал блокировать фишиг-атаку с

http://98.126.116.2/cmd/config.bin

, я собственно решил заблокировать через "Сетевой экран" (версия 7.0 KIS) этот адрес, но получается, что отрубается инет. Т.е. соединение активно, но icq, ff, torrents не але. Через tracert позырил это flintshirebase.com, но сайта нет такого, whois показывает вот что я в этом не силен. Собственно:

1. Может кто в курсе что это за атака?
2. Почему отрубается инет при блокировании адреса через фаерволл?
3. Может я в фаерволе что не так настраиваю?

Может у тебя где вирус засел? или это премудрости касперского, хз.
Я этот адрес заблокировал в аутпосте - все работает, т.е. ну никак этот адрес не влияет на инет.

[@rbuz]

Касперский лицензия, на дню сто раз качает обновления. Проверил все, все равно как запускаю ff сразу касперыч жалуется на фишинг-атаку.

[landlord]

Касперский лицензия, на дню сто раз качает обновления. Проверил все, все равно как запускаю ff сразу касперыч жалуется на фишинг-атаку.

Ну может стоит посмотреть что написано в файле C:\WINDOWS\system32\drivers\etc\hosts
там незакомментировано # должно быть только
127.0.0.1 localhost
А так же пройтись утилитой CureIT от Доктора Веба и утилитой AVZ? может всетаки где то вирь засел.
А если через другой браузер открывать? Тоже жалуется?
Это конечно дело твое, но я бы снес этого кашперовского нафиг и поставил аутпост и nod32.

Сообщение отредактировал landlord: 22 Сентябрь 2009 - 09:47

[-={X}=-]

Касперский лицензия, на дню сто раз качает обновления. Проверил все, все равно как запускаю ff сразу касперыч жалуется на фишинг-атаку.

это что то нехорошее касперыч его не видит помогло тока жестокое форматирование из под доса, данных потерял кучу зато теперь тишина

[@rbuz]

Нашел я причину. Это троян. Касперыч не распознает его. Щас буду лечицо ;-)
-------------
UPD: Вылечился! Если кому нужно, могу faq написать.

Сообщение отредактировал @rbuz: 24 Сентябрь 2009 - 10:13

[Sunduk]

Нашел я причину. Это троян. Касперыч не распознает его. Щас буду лечицо ;-)
-------------
UPD: Вылечился! Если кому нужно, могу faq написать.

Напиши... а то не раз натыкался на эту шляпу. Разбираться некогда было с ней да и дома под линухой не поиграешься ))

[@rbuz]

Способ гарантированно работает на Win XP SP-3

1. Во время загрузки компьютера жмем F8 и выбираем безопасный режим (safe mode);
2. Пуск (Start) -> Выполнить (Run) -> пишем regedit, вызываем редактор реестра;
3. Удаляем следующие ключи:

• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
• HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID: "7600-A9041E6B18_00015A9E"

4. Создаем новые ключи:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
  UID = "%ComputerName%_000252BA" (вместо %ComputerName% - пишем имя комптютера! клик)
• [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
  Создаем мультистроковые параметры:
  - {3039636B-5F3D-6C64-6675-696870667265} = F7 09 F2 0D
  - {33373039-3132-3864-6B30-303233343434} = 47 09 F2 0D
• [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  ProxyEnable = 0x00000000 (параметр DWORD)
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: "C:\WINDOWS\system32\userinit.exe,"

5. Перезагружаем компьютер и снова заходим в безопасный режим;
6. Заходим в папку C:\Windows\System32\ и удаляем:

• sdra64.exe
• папку lowsec (по умолчанию естественно скрыта) вызовите консоль (cmd) и набрать поочередно команды:
  - attrib -h -s -r -a c:\windows\system32\lowsec (снятие аттрибутов системный, чтение, архивный, скрытый)
  - del *.* c:\windows\system32\lowsec /s /f /q (удаление всех файлов из папки)
  - rd c:\windows\system32\lowsec /q (удаление папки)

7. Перезагружаем компьютер.

ЗЫ:  Trojan-Spy.Zbot.a.txt   1,8К   9 Количество загрузок:

Сообщение отредактировал @rbuz: 28 Сентябрь 2009 - 08:10