» Флейм для сисадминов (часть IV)

champa

Цитата:

Спасибо, буду иметь ввиду. А так, я понимаю, особых подводных камней нету?

Ну любой Radio-Ethernet будет иметь пинг достаточно большой. Плюс обратный канал не всегда симметричен. А так вам виднее.

Провайдер дома начал мне перекрывать исходящий 25 порт, вроде бы это делает автомат, реагируя на подозрительную активность.

Антивирей я не держу, до сих пор у меня хватало квалификации жить без троянов. Но сейчас проще всего предположить, что я всё-таки подхватил зловреда.

Как бы из винды конкретно отследить гадящий процесс? Желательно без антивирусов, минимальными средствами.

LevT
Avz -> сервис -> открытые порты (ну и заодно процессы/автозагрузка и куча всего оттуда)

Собственно нащупал направление с которого грабля полбу бьёт.
Может кто поможет.
http://forum.ru-board.com/topic.cgi?forum=5&topic=19377&start=260#4

vertex4

avz вообще ничего не показывает под семёркой. (
При том, что элевацию запросить у него ума хватает.


Добавлено:

Пишет, что дохренища функций advapi32.dll и netapi32.dll перехвачены.

LevT

Помощь при лечении компьютера от вирусов


Цитата:

Антивирей я не держу, до сих пор у меня хватало квалификации жить без троянов. Но сейчас проще всего предположить, что я всё-таки подхватил зловреда.

просканируйте AVPTool-ом и CureIT-ом

Autoruns от Руссиновича.
Все неподписанное проверяем на virustotal.com

Во-первых, всем спасибо за советы.



Цитата:

просканируйте AVPTool-ом и CureIT-ом

Линуксовые сканеры заведомо не сумеют просканировать систему внутри VHD на OCZ RevoDrive . Даже и не пытаюсь их туда натравить...



Цитата:

Autoruns от Руссиновича.
Все неподписанное проверяем на virustotal.com

Так обычно и действую на чужих компах. Но на своём хотелось бы разобраться тщательнЕе. Система относительно свежая (ставил летом), говна нет, запускались считаные избранные кейгены отсюда с руборда...

А я фпечали, убил сегодня при перезде на новый винт семерку которая стояла с момента релиза подписанных образов
Долго прожила в принципе но видимо срок пришел.

Цитата:

Пишет, что дохренища функций advapi32.dll и netapi32.dll перехвачены.

То же самую ругань avz выдаёт про свежеустановленный сервер 2008 R2
Так что, не показатель.

гип гип ура, сегодня наконец то полностью перешел с глючной висты, на старую добрую xp на работе.
Так получилось устроился на новую работу, а там на месте предыдущего админа стояла виста, жесть, глючила безбожно.
Зато сейчас приятно смотреть на окно с wallpapers'ом в виде файла "безмятежность"

HotBeer

Цитата:

Зато сейчас приятно смотреть на окно с wallpapers'ом в виде файла "безмятежность"

Т.е. глядя на виндовую безмятежность ты испытываешь админовскую нирвану?

eap
Спасиб!
Осталось у меня в городе добраться до нужной конторы

Люди подскажите какой прогой в домене можно собирать комлектации компов по сети. Заранее спасибо!

LevT
Я не говорил про сканирование в AVZ.

kubrak1985
Цитата:

Люди подскажите какой прогой в домене можно собирать комлектации компов по сети. Заранее спасибо!

А причем здесь домен?
OCS Inventory

Цитата:

Я не говорил про сканирование в AVZ.

Дык AVZ ничего не показывает в "открытых портах", и вообще.. сканирование в AVZ говорит, что (среди прочего)

Цитата:

>>>> Обнаружена маскировка процесса 5400 avz.exe

А вот AVPTool и CureIT ничего плохого не находят.


Щас готовлю чистую систему. Чем бы ещё хорошим посканировать оттуда офлайновую ось (кроме autoruns)?

LevT
Паранойя это не всегда хорошо. Вирусов может и не оказаться.
p.s.: AVZ, cureIT, AVPtool, GMER, XueTr (не смейтесь), RootKit Unhooker, Trend Micro Housecall, HijackThis, uVS. Хватит?

LevT

Цитата:

Провайдер дома начал мне перекрывать исходящий 25 порт, вроде бы это делает автомат, реагируя на подозрительную активность.

И я со своим пятачком.
Может прова просканировать? Паяльником... пусть разъяснит критерии, по которым его "автоматика" отделяет нормальную активность от подозрительной, пусть логи в студию подаст и пусть укажет на п.п. договора, а если таковые есть, то пуусть обоснует их легитимность, в русле ли они закон-ва РФ.

А практически - так почему бы не поставить, коль уж так далеко зашло, фаер приложений в минимальной конфигурации - все разрешить, а исходящую на 25 порт отмониторить. Через пять минут вся активность будет на ладони... Персонализировано.

reff
asbo
Спасибо за моральную поддержку и советы!

Но то, что показывает красным цветом в логе avz - всё-таки на мой взгляд, свидетельствует о рутките

>>>> Обнаружена маскировка процесса 5400 avz.exe
(и еще кучи процессов)

в чистой системе такого рода ругани нет.


И про открытые порты avz молчит в предположительно заражённой системе. (
В чистой всё показывает.

Симптомы болезни наблюдаются в "образцовом" vhd, который я сделал летом, растиражировал на все домашние компы и до кучи успел поставить одному приятелю (((



Добавлено:

Цитата:

AVZ, cureIT, AVPtool, GMER, XueTr (не смейтесь), RootKit Unhooker, Trend Micro Housecall, HijackThis, uVS. Хватит?

Забыл добавить, что ось 64-битная. По кр. мере про avz и xuetr пишут, что они недоделаны или вовсе не работают в таких системах.

пора баиньки

asbo

Цитата:

И я со своим пятачком.  
Может прова просканировать? Паяльником... пусть разъяснит критерии, по которым его "автоматика" отделяет нормальную активность от подозрительной, пусть логи в студию подаст и пусть укажет на п.п. договора, а если таковые есть, то пуусть обоснует их легитимность, в русле ли они закон-ва РФ.  

Блокировка by default с целью защиты от спама. И включать по запросу. У нас по крайней мере так сделано.

Цитата:

Т.е. глядя на виндовую безмятежность ты испытываешь админовскую нирвану?

Нирваной это точно не назовешь, просто три месяца переделывал сеть, а тут руки дошли наконец до своей тачки )

Цитата:

Блокировка by default с целью защиты от спама. И включать по запросу. У нас по крайней мере так сделано.

У моего прова наоборот, и вроде реально работает, к моему удивлению.
Внезапно порт заблокировался уже второй раз, в первый раз его по запросу моментально вручную разлочили. Наверное, и сейчас готовы разлочить - но опять ненадолго.

Есть и ещё свидетельство тому, что нечисть живёт у меня дома: яндекс пишет, что запросы с моего IP похожи на автоматические и заставляет проходить капчу.

Очередной пёрл из жизни, произошедший вчера.

Вообщем попросили посмотреть в организации сеть, кое какие баги исправить.
Сижу вечером в чужой конторе, от неё оставили ключи, пью потихоньку пиво, почти закончил, и тут маски шоу приехали с АК 47...вообщем забыл с охранки контору снять )

Sish
"..ты испытываешь админовскую нирвану?.."
Мудрый вы человек,

Эх, второй день подряд на работу к 6 утра

goletsa

Цитата:

на работу к 6 утра

= счастливЧик=)))

Цитата:

Провайдер дома начал мне перекрывать исходящий 25 порт, вроде бы это делает автомат, реагируя на подозрительную активность.
 
Антивирей я не держу, до сих пор у меня хватало квалификации жить без троянов. Но сейчас проще всего предположить, что я всё-таки подхватил зловреда.
 
Как бы из винды конкретно отследить гадящий процесс?   Желательно без антивирусов, минимальными средствами.  
 

Цитата:

Забыл добавить, что ось 64-битная. По кр. мере про avz и xuetr пишут, что они недоделаны или вовсе не работают в таких системах.

Ось моя по-прежнему под подозрением - но провайдер и яндекс успокоились после того, как я погасил взятый с торрентов c руборда виртуальный Mikrotik под Vmware и стал ходить через аппаратный роутер.

Что кагбэ намекает....

LevT
По уму, так наезжать лучше со скринами. Или с логами. А не с "кагбэ"... Не комильфо, имо. И не интересно :)