Ко мне "стучатся" сетевые атаки и вирусы

[Colombina]

Добрый вечер! Несколько дней подряд по локальной сети ко мне стучатся сетевые атаки вида: 14.07.2009 15:49:22 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit TCP от 10.0.97.65 на локальный порт 445 И я пока не разобралась как мне закрыть уязвимые порты. Сегодня я проверяла систему утилитой dr. web и обнаружила каких-то "зверюшек". Доктор Веб 2 из них удалил, а 2 переименовал и отправил в карантин (который я нашла и пока не рискую выложить здесь). На фоне постоянных атак я скачала фаерволл Comodo, но потом вспомнила, что все-таки KIS не очень любит соседей и удалила фаерволл. Это как бы предистория. Через какое-то время начали появляться сообщения от KIS такого рода:

14.07.2009 19:05:33 Обнаружено: PDM.IrpTableChanged

14.07.2009 19:27:11 Обнаружено: PDM.Hidden object RD37N.EXE C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RARSFX3\RD37N.EXE

14.07.2009 19:27:11 Не завершен: PDM.Hidden object RD37N.EXE C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RARSFX3\RD37N.EXE

14.07.2009 19:47:11 Обнаружено: PDM.Hidden object C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RARSFX3\RD37N.EXE RD37N.EXE

Гугол мне совершенно ничего не объяснил что такое PDM.Hidden object, зато я нашла Ваш замечательный сайт Но самое смешное, что у меня нет такой папки! (C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RARSFX3\RD37N.EXE) Выкладываю скриншот (рис1). Правила выполнила. Помогите, пожалуйста разобраться и исправить ситуацию!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Закрыть порты можно с помощью программы wwdc во вложении.

Распаковать. Запустить. Нажать на кнопки, рядом с которыми белый крестик на красном фоне.

 

Папка, которую Вы не находите на компьютере, относится к системным папкам.

Если не включен показ скрытых и ситемных файлов, Вы ее не сможете видеть.

 

Каких зверюшек убил и переимtновал DrWeb (название вирусов)?

 

В этих логах не видно ничего подозрительного

 

Выполните следующее

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

wwdc.zip

Изменено 14 июля, 2009 пользователем thyrex

[Colombina]

Здравствуйте, Thyrex! Благодарю за быстрый ответ и за программу!

Папка, которую Вы не находите на компьютере, относится к системным папкам.

Если не включен показ скрытых и ситемных файлов, Вы ее не сможете видеть.

Не, не, я включила показ скрытых системных папок, там даже на скриншоте видна нажатая кнопка "sys" на панели коммандера, иначе не найти! Есть папки C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RARSFX0, RARSFX1 и RARSFX2, а RARSFX3 (на которую ссылается KIS) просто нет! К сожалению, по собственной беспечности, я не запомнила имени вируса, (типа, удалила, и Бог с ним!), а вот имена троянов сохранились в поисковике: Trojan-Notifier.Win32.Small.a и Ntrootkit 1519, Каспер их как-то не заметил, а может они после проверки завелись... Если не трудно, просветите, пожалуйста, что это такое PDM.IrpTableChanged и PDM.Hidden, просто пару слов. Если не ошибаюсь, PDM.IrpTableChanged как-то связан с эмуляторами дисков, у меня действительно установлен Daemon Tools Lite, но проблем раньше не было, а вот насчет PDM.Hidden я ничего не нашла. Вот результаты сканирования

skan.log

Изменено 14 июля, 2009 пользователем Colombina

[Roman_Five]

что касается сетевой атаки Intrusion.Win.NETAPI.buffer-overflow.exploit - это вирус Kido по локалке, используя бреши в ОС, пытается проникнуть к вам на PC. Установите данные обновления для OC, чтобы их закрыть.

 

PDM.Hidden object - это вердикт проактивной защиты KIS на создание скрытого объекта

Изменено 15 июля, 2009 пользователем Roman_Five

[Colombina]

Roman_Five, спасибо! Скорее всего все заплатки есть, у меня XP SP3 с автоматическим обновлением. Хотя, че тут думать, если есть уязвимость хоть где-нибудь, Каспер все расскажет. Сейчас сделаю проверку. Уязвимостей системы нет. По локалке пока ничего не лезет, я закрыла порты, спасибо thyrex-у. Но есть еще вопрос: можно ли с помощью KIS закрыть порт, конкретно 1434, потому что один из модов Kido ломится туда... Спасибо за объяснения, а то мне немного стремно, когда вижу такие предупреждения об обнаруженых объектах... Я так понимаю, что машина у меня чистая, если в логах ничего подозрительного нет (Ура! Ура! Ура!) Большое спасибо всем! Теперь намного легче, я знаю куда мне обратится, если что!

Изменено 15 июля, 2009 пользователем Colombina

[thyrex]

На порт 1434 обычно ломится Helkern. Если у Вас не установлен MS SQL Server, волноваться не стоит. Антивирус атаки успешно отражает

 

Почитайте http://support.kaspersky.ru/faq/?qid=208635774

Если у Вас более новая версия KIS, по аналогии сможете выполнить

Изменено 15 июля, 2009 пользователем thyrex

[Colombina]

Вы совершенно правы, именно Helkern. KIS 2010 с ним справляется спокойно. Thyrex, большое Вам спасибо, локалка молчит! С удовольствием воспользуюсь Вашими рекомендациями и вообще прочту все темы!

[sergio342]

Не, не, я включила показ скрытых системных папок, там даже на скриншоте видна нажатая кнопка "sys" на панели коммандера, иначе не найти! Есть папки C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RARSFX0, RARSFX1 и RARSFX2, а RARSFX3 (на которую ссылается KIS) просто нет!

Это после CureIt Dr.Web осталось. После его проверки надо перезагружаться, а иначе будут сообщения проактивки PDM.Hidden object

[Colombina]

sergio342, спасибо за объяснения! Я, если честно, так удивлена такому терпимому и лояльному отношению к новичкам, особенно паникующим по пустякам (это я о себе)! А я не могу раздать плюсы? Или это настройки браузера?

[ТроПа]

Нет не можете, после 20 сообщений сможете.

[Roman_Five]

Скорее всего все заплатки есть, у меня XP SP3 с автоматическим обновлением.

....

Хотя, че тут думать, если есть уязвимость хоть где-нибудь, Каспер все расскажет.

...

 

1. заплатки винды, на которые я Вам дал ссылки, вышли после 3-го SP, а т.к. автоматическое обновление у Вас отключено (я прав?) - они не установлены в системе.

 

2. KIS находит узявимости в программах и осуществляет

поиск аномалий и повреждений в настройках операционной системы и браузера

. Проверка на полноту установленных заплаток самой ОС не производится. Для этого надо использовать стандартные средства Windows или софт сторонних разработчиков, например, Belarc Advisor Изменено 15 июля, 2009 пользователем Roman_Five

[Colombina]

Автоматическое обновление включено. Но все равно пойду устанавливать патчи, лучше перепугаться, чем недопугаться Господа, большое всем спасибо за помощь и консультации! Я сегодня целый день провела здесь, прочитала много тем, многое узнала... Теперь я отсюда не выведусь!

P.S. Roman_Five, здесь на скриншоте я выделила свою версию форточек с пометкой что обновления отсутствуют... И так по всем пунктам. Значит ли это, что эти патчи у меня уже есть? Мои вопросы могут показаться Вам очень глупыми, но что выросло, то выросло

Изменено 15 июля, 2009 пользователем Colombina

[Roman_Five]

P.S. Roman_Five, здесь на скриншоте я выделила свою версию форточек с пометкой что обновления отсутствуют... И так по всем пунктам. Значит ли это, что эти патчи у меня уже есть?

 

"Отсутствует" - это указывает на отсутствие бюллетеня, а не на необходимость установки данного обновления Зайдите на сайт виндовсапдейтс и проверьте, все ли обновки у Вас стоят.