» Agnitum Outpost Firewall Pro (фаервол)

Delphi6
Цитата:

RUNDLL32.exe C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

Дай догадаюсь. Видео карта NVIDIA? Это загрузка иконки панели управления дисплеем в трее. Так что не ботнет.

YuraH

Цитата:

Это загрузка иконки панели управления дисплеем в трее. Так что не ботнет.

Эти две записи добавились сегодня А я дрова последний раз обновлял или софт ставил (загрузку мало полезных прок автоматом отрубаю) пол года назад Может она маскировалась под nVidia?

Не знаю не знаю Но эта сволочь на сайт пыталась вылазить (три копии rundll32.exe в памяти) а когда попытался открыть сайт, http://example.com получил сообщение что у меня нет прав на просмотр данной диры (рутовой ) после начал капать и вот накопал 30 длл-ок созданных за последние 3 дня, которые были удачно затерты (правда одна сопротивлялась пришлось убить процессы explorer.exe и winlogon.exe)/

Такое чувство что от ботнета избавился но меня вот что интересует, кроме уже описанного мной способа Rundll32.exe эта сволочь еще погружала свою DLL через explorer.exe и winlogon.exe, я кажется отстал от жизни Как реализуются последние две фишки?

п.с. еще каким то загадочным способом сам по себе запускался IE и пытался вылезьть на какую-то не известную мне страничку...

Delphi6
рекомендую проверить комп АВ freedrweb.com аккуратно z-oleg.com/secur/ и ftp://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
если ниче не найдется то отправь файлы в ЛК и Др.Веб

Цитата:

Такое чувство что от ботнета избавился но меня вот что интересует, кроме уже описанного мной способа Rundll32.exe эта сволочь еще погружала свою DLL через explorer.exe и winlogon.exe, я кажется отстал от жизни Как реализуются последние две фишки?

сам не спец но rootkit.com в помощь

Добавлено:
сорри спросоня не разобрался, но проверить все же рекомендую

Delphi6
Я говорил именно о этой записи. rundll32 много где задействован (например, через него вызывается окно настроек ffdshow, а Belark Advisor им обновления качает, и т.д.), так что правила для него индивидуальные, хотя лучше прикрыть, а потом открывать только туда, куда нужно. А вот другие экземпляры rundll32 с "левыми" dll довольно подозрительны. Если опять появятся, то посмотри ProcessExplorer-ом, какие dll-ки подгружаются. Да и безопасный режим с AVZ не помешает.
Код: winlogon.exe

redwhiterus, YuraH

Цитата:

Да и безопасный режим с AVZ не помешает.

Вот это действительно полезная программка, не сколько за поиск вредоносных программ (как часто бывает на моем ПК если что и появляется то только свежее пока не известное ) то в этом плане все антивирусы полная лажа Я раньше пользовался лицензионным NOD32 можно сказать как дуршлаг работал AVP я вообще не доверяю, про DrWeb знаю с детских лет посему нейтральное отношение, ну что NAV нельзя доверять это факт Находит только вирусы которые были написаны в его же лаборатории

Лучший в мире антивирус это фаервол... плюс пару программ которые мне посоветовал redwhiterus rootkit и AVZ и немного мозгов Странно вообще как ко мне этот ботнет попал, за последние пару дней ставил две вещи, первое DivX с краком (из радела варезник) и качал еще игру из торента RedAlert2...

Delphi6
есть желание заходи бум рады http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=24559#1

Цитата:

Странно вообще как ко мне этот ботнет попал, за последние пару дней ставил две вещи, первое DivX с краком (из радела варезник) и качал еще игру из торента RedAlert2...

DivX с кейгеном? а флешки и др.устройства? может и в игре был
сорри за

Раньше Аутпост два раза минут на 40 блокировал машину при каких-то действиях Пунто Свитчера. Не только мою - всех моих знакомых и рабочую. Даже заранее разрешаешь все для Пунты - он все-равно вешает систему. В последнее время все больше прог не нравятся Аутпосту. Минут на 10-20 блокирует торрентовые клиенты (при установке или при попытке обновления) например, всякие примочки для быстрого открытия папок, етс... А я ведь заранее не могу предугадать что ему не понравится. Что он смотрит по 10-40 минут в этих прогах?? Я подозревал, что в Пунте дневник просматривает, пока при мне не завесил машину, на которой Пунто дневник не вел. Где эти смотрелки ему можно обрубить? И еще - постоянно сообщает, что какой-то неизвестный процесс по UDP выходит в сеть. Как это "неизвестный"? Почему он его не может определить? Выпускать или нет? И еще - постоянно жалуется, что опять-таки какой-то сервис требует ICMP соединение. Разрешать? Никогда никаких шпионов-вирусов не находит. Одну и ту же несчатную куку ловит все время. Забавный кривой уродец AVZ каждый раз находит кучу руткитов (а в конце лога заявляет, что все ОК!), требует перезагрузки, после перезагрузки опять находит, причем на всех машинах, у всех знакомых и у всех незнакомых. Я его от скуки только запускаю - пусть порезвится и меня повеселит. DrWeb никакой дряни не находит. Штук 7 антируткитов разных стоит - тоже говорят, что все чисто (ну кроме уродца AVZ). Тогда что это за неизвестные процессы?

AnTul
у меня сосуществуют сабж 4 и пунто последний (собственно все версии за последние года 2 были) - ни разу не было траблов.
По поводу AVZ: не надо обсирать то, чего не понимаешь. Утилита отлично работает в умелых рукам и заменяет собой сразу кучу других прог (стационарные антивирусы тут не подразумеваются - avz лишь дополняет их но не заменяет).
Вместо голых слов закинь свои логи на указанные в проге адреса, раз сам не в состоянии найти инфу нужную - там тебя быстренько все раскидают по полочкам и покажут, кто не прав. Ради интереса можешь показать свои "руткиты", которые тебе avz нашел.
Сабж с пунтой может не поладить наверное в плане контроля компонентов - отруби и проверь как без него всё будет.

Написал как-то автору. Зайцев даже не вник в мое письмо, либо счел меня за полного дауна. Когда я ему указал, что на одной из машин никак не могу удалить драйвер расширенного мониторинга, и делал все, что указано для этого в справке - он посоветовал мне сделать все, что указано в справке. Я ему опять написал процитировав первое письмо, где я уже говорил, что все это сделал - в ответ молчание. Это очень хреновая поддержка (если можно это назвать поддержкой) своей поделки. Человек не понял, как исправить баг и отмахнулся, прикрылся справкой. Он даже не спросил меня конфигурацию и версию ОС этой машины. Уже одно это говорит о многом. Все тулзы, которые встроены в эту поделку глюкавые и неудобные. Это не голословно. Попробуй с ними поработать - сам убедишься. Честно говоря, я уже полгода их не запускал в работе - смысла нет, но при внешнем осмотре - все как было, так и осталось. У меня на машине стоит антивирус (DRWeb, а не Нод какой-нибудь и не Панда-шманда, три дня назад я лечил ДрВебом машину с пандой, вовремя обновляемой, на которой она вполне мирно уживалась с 8-ю (!) тварями), штук 7 антируткитов, куча тулзов, при помощи которых я вижу все, что происходит в системе и сумею руками поправить, если что не так будет, Аутпост - и бьется в истерике один только AVZ. Остальные себя ведут спокойно и с достоинством. Вот Аутпост сигнализирует мне про некоторые непонятки - я пытаюсь с этим разобраться.
Я бесконечно счастлив за тебя и за твой Пунто Свитчер. Но слушай сюда внимательно: я _лично_ видел, как аутпост вешал Пунто свитчера на 6-7 _разных_ машинах, плюс неоднократно вешал на моей (когда переставлял свежую Пунту или сбрасывал Аутпост), и я в недоумении, зачем ты мне говоришь про свою счастливую жизнь с Пунтой и Аутпостом. Ты хочешь меня убедить, что мне все мерещится? Тогда чуть выше глаза подними и даже страницу назад листать не надо. Там увидишь рекомендации, как подружить Пунту с Аутпостом. И что ты тогда хотел сказать своей фразой, что у тебя все шоколадно? Чтобы мне все тебе обзавидовались? Я ищу в этом форуме не тех, у кого все шоколадно, а тех, у кого такие же траблы, как у меня и спрашиваю советы, как эти траблы решить. Интересно, ты что мне можешь посоветовать, если с такой ситуацией вообще не сталкивался? Сидеть и восторгаться, как у тебя Пунта с Аутпостом дружат? И еще - на каком основании ты сделал вывод, что я чего-то не понимаю в AVZ? Скажи, что там такое есть супер загадочное, что очень сложно понять? И еще - здесь же, в Ру-боарде очень нелестно отзываются о твоей любимой супер-пупер тулзе - ты поищи. Не помню где натыкался и на отзывы на AVZ и на отзывы на его форум. Ты сам-то был там хоть раз?

AnTul
а ты часто видел бесплатный софт с поддержкой автора + регулярной? я что-то не припомню. Более чем уверен, что таких писем он получает в день немало. Хотя фраза "у программы есть поддежрка" к чему-то автор и обязывает. К тому же сотф поставляется as is - т.е. тупо "не нравится - не юзай". Половина ругательств АВЗ - на перехваты функций каспером, аутпостом и т.п, что вполне логично. Ну еще daemontools.
Даже если и "глюкавые" и еще какие - они
У меня тоже дома стоит доктор - устраивает почти всем (вот анализа траффика еще не хватает). В паре с аутпостом и спайботом чувствую себя более-менее уверенно.
По поводу пунты. Я специально написал, что у меня стоит 4ка - как он дружит с 6кой - без понятия. Это такой намек был. Что стоит у тебя - не в курсе.
Панды, авиры, авасты, норманы - я в расчет вообще не беру.
На форуме авзшном был - как раз там всю инфу по срабатываниям его и нашел.
"Сама-любимая" ты погорячился: самая удобная: кладется на флэшку, автоматом там обновляется и сканит компы кривых юзеров + по сетке запускаются скрипты на паре компов периодически. Подсоветуешь более удобный софт - буду рад. Плохие отзывы есть всегда и на всё. Вот тот же USD, который по сути единственный в своем классе, тоже некоторым не нравится.

Цитата:

бесплатный софт

- нет, не часто. ДрВеб - супер удобная штука, помимо всего прочего - на флэшку записал и побежал лечить компы. Больше не знаю, кто так умел бы еще делать. И очень приятно видеть свою фамилию и имя в заголовке окна ДрВеб. И никогда не жалею, что плачу за ключик (уже четвертый год я его покупаю). Вот в паре с аутпостом и у меня стоит - и я года 4 уже не видел ни одной твари на _своей_ машине. Бесплатного немного хорошего бывает. Starter, например - редкое исключение. Аутпост я всегда обновляю, заметил его нелюбовь к Пунте где-то год назад что-ли. Еще на старой своей машине. Купил новую - после установки всего - та же история. На работе полгода назад поставили аутпост - а там у всех Пунты. Почему и говорю, что видел, как они себя ведут на разных машинах. В последнее время Аутпост стал на многие проги так реагировать (правда, так долго, как на Пунту - еще пока ни на ком не зависал). Это меня напрягает.

В старых версиях сетевая активность адресов и портов отображалась на выбор (название порта или номер), сечас в версии 2009 не могу найти данную опцию. Возможно ли выбрать отображение номеров портов в 2009 версии.

подскажите как в PRO 2009 создать правило для svchost.exe, я уже и разрешал его, а окно каждые две минуты выскакивает все равно (это от провайдера входящие)

PilotKO
Мне пришлось разрешить любую активность. Иначе замучает вопросами. У тебя VPN?

Рано радовался Outpost реально держит защиту и никого не выпускает наружу (я уже отписал в сапорт) но вот вредоносная прога еще стоит... есть странные поведения:

1) Странным образом появляется сообщение об ошибке и при нажатии на нее открывается IE которые предлагает установить антивир http://gesoft.org/ruboard/botnet/error-screen.jpg и http://gesoft.org/ruboard/botnet/outpost-log.jpg

2) В таск менеджере все процессы без имени пользователей (раньше такого не было )

4) У меня 5 копий svchost.exe в памяти (четыре из них были убиты без проблем, а вот пятая оказалась реальной, так как потребовала рестарт через 60 секунд), что указывает на высокую вероятность троянца...
Что делать? http://gesoft.org/ruboard/botnet/task-list.jpg

PilotKO

Цитата:

подскажите как в PRO 2009 создать правило для svchost.exe, я уже и разрешал его

Вообще то для svchost.exe оно автоматом создается (по кране мере у меня так). Вот скрины всех трех правил:
http://gesoft.org/ruboard/PilotKO/rule1.jpg
http://gesoft.org/ruboard/PilotKO/rule2.jpg
http://gesoft.org/ruboard/PilotKO/rule3.jpg
п.с. я тоже пользуюсь VPN-ом но проблем никаких с svchost.exe

Delphi6
Цитата:

предлагает установить антивир

По PCPrivacyCleaner нашёл это: http://removal-tool.com/pcprivacycleaner/ Говоришь, кодеки ставил?
Цитата:

PCPrivacyCleaner sneaks into your computer system with the help of Trojans (like Zlob or Vundo) disguised as video codecs

Zlob или Vundo нигде не находило?
Цитата:

У меня 5 копий svchost.exe в памяти

У меня тоже 5, на всякий случай посмотри ProcessExplorer-ом, он показывает функции каждого экземпляра.

Плюс если пользуешься ИЕ, то поставь себе надстройку типа Maxthon, а ИЕ заблокируй.

YuraH
Спасибо уже качаю "PCPrivacyCleaner Remover" и пушу на скан.

Цитата:

Zlob или Vundo нигде не находило?

Да вроде ничего такого не найдено, я больше на скаченную игру имею подозрения, тем более что она так и не запустилась

Цитата:

У меня тоже 5, на всякий случай посмотри ProcessExplorer-ом, он показывает функции каждого экземпляра.

Как я понял это тоже программка? Сейчас скачаем и посмотрим что же там происходит...

Цитата:

Плюс если пользуешься ИЕ

Да упаси меня бог юзать это глючное создание Мой ПК давно надо было бы на помойку выкидывать... правда Firefox тоже уже не то, очень популярным стал и соответственно эксплоиты к нему пошли. Думаю на оперу перейти но там нет удобных адонов которые есть в Firefox

Delphi6
Попробуй еще и Spybot http://forum.ru-board.com:9000/topic.cgi?forum=5&bm=1&topic=6379#1

Dimon Hill

Цитата:

Мне пришлось разрешить любую активность. Иначе замучает вопросами. У тебя VPN?

все разрешил, и впн нет, адсл
Delphi6

Цитата:

Вообще то для svchost.exe оно автоматом создается (по кране мере у меня так)

аналогично, но входящие ему не нравятся чего то, хотя сейчас вроде молчит

Думаю пока можно передохнуть Spyware Doctor 5.5.0.178 - Final удалил пару dll-ок (хотя прога реально глючная ), дополнительно мне сапорт посоветовал перейти на Outpost Pro 2009, после был обнаружен еще один файл... они сказали что dll-ку которую я им переслал они уже отправили на экспертизу Ну и сказали что то что у меня редиректит это известная фишка и новый Outpost умеет с этим бороться.

Delphi6

Цитата:

они сказали что dll-ку которую я им переслал они уже отправили на экспертизу

отпишешь ответ экпертов

Цитата:

Ну и сказали что то что у меня редиректит это известная фишка и новый Outpost умеет с этим бороться.

не проверил?

redwhiterus

Цитата:

не проверил?

Если честно то до этого делал пару раз обновление и мне Outpost говорил что все базы и сама прога обновлена Но после получения этого письма решил заново сделать... и что произошло? Появилось новое обновление, которое мой Outpost скачал Если честно мне как то по барабану, была ли уязвимость в Outpost или нет, факт что пофиксили, правда почему не признают? С новым Outpost Pro 2009 пока все супер, сообщений не видно...

Цитата:

отпишешь ответ экпертов

Как только получу от них оф. ответ обязательно, правда я думаю они скажут что им этот экземпляр известен и Outpost свободно его находит и удаляет и что мол это у меня руки кривые

А вот и ответ от сапорта

Цитата:

The analysts report that the dll you had sent us was proven to be a
spyware and it was added to our spyware signatures database.

Delphi6
а сама дллка не осталась?не мог бы залить на вирустотал и какой-нибудь обменник?
сорри за

Подскажите как заблокировать доступ к определенным сайтам. К примеру: odnoklassniki.ru и vkontakte.ru
Поставил Outpost Firewall Pro v.6.5.2358.316.0607 и не могу найти где это сделать.
До этого стояла v4.0 и там это делалось очень просто через настройки.
А тут я что-то не догоняю.

Silicoid
настройки -> реклама и сайты -> блокировка вредоносных сайтов


Блин неужели в ОР 6.5.2358.316.0607 выход из проблемы с правилом для svchost.exe и 135 порта только разрешение любой активности?

Light_AS

Цитата:

Блин неужели в ОР 6.5.2358.316.0607 выход из проблемы с правилом для svchost.exe и 135 порта только разрешение любой активности?

судя по всему да

PilotKO
Query это Я и есть
Заметил очень интересный факт, если установить просто ОР не вводить серийный номер и не обновлять базы сигнатур то тогда он успешно работает, вопрос почему??
стоит только обновить базы сигнатур или ввести серийный то сразу начинается эта байда

Подскажите пожалуйста, поставил ОР 6.5.2358.316.0607 а он по умолчанию развешает всем приложениям лезть наружу. Можно ли как то сделать блокировку по умолчанию?

bubenson, можно убрать опцию "автоматическое создание правил для приложений" и тогда у Вас все будет под контролем - сами разрешите кому надо.
OP>Настройки>ImproveNet>Автосоздание правил

А те правила, которые уже создались, можно поправить в закладке OP>Настройки>Правила для приложений (зеленый цвет - разрешить)