|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » уязвимость во второй операционке и возможно торренте нужна помощь |
|
|
уязвимость во второй операционке и возможно торренте нужна помощь
|
|
Новый участник Сообщения: 6 |
система такая- 2 харда 3 тома. в 2 томах абсолютно одинаковые ХР проф обновляемые и неголимые. Третий для хранения разного хлама- фильмов, прог ктр могут
потребоваться и тд. Основной том забаррикадирован. Настройки: лишние пользователи отключены, службы закрыты, протоколы сетевых подключений отключены. Разделяемых ("общих") ресов нет. Вся ценная инфа убрана подальше...." том с резервной и сервисной виндой - настройки небрежные убраны сетевые протоколы и выключены лишние пользователи. работаю на первой винде. Вторая на всяк пожарный и для сервиса (удаление с 1 тома неудаляемого к примеру) В оба тома установлены OutPost 2009 и Norton 2008 обновляемые. Вторым томом пользуюсь редко,когда вхожу- все обновляю, но если не вхожу (до 2 мес), значит обнов там нет. Уязвимость в этом томе. Не разобрался только какая. При работе в нете эта уязвимость позволят удаленному пользователю ВКЛЮЧИТЬ в этом томе учетные записи гостей, и установить ВСТРОЕННОЮ учетную запись гостя, а так же получить РОДИТЕЛЬСКИЕ права на том с файлами и том с резервной виндой с абсолютно полным доступом(это все при том что нет в ней подключается крайне редко и не надолго)и делать практически все ресы в этих томах ОБЩИМИ создать в первом томе с основной операционкой входящее подключение и возможно включать службу сервер в основном томе. При попытке удаления учетных записей чертовых гостей прописавшихся в резервной винде они удаляются (если отменить родительские права) Но после перезагруза восстанавливаются. Тож самое если попытаться вырубить им доступ к томам (только вместо родитеских,-уже стоит "ненаследуемые") В добавок, при попытке выключить общий доступ к этим томам, становится общим том с основной системой...В общем, вырубить полностью разделяемые ресы не удается. При установке всей системы настройки проверял.. Сетевых общих ресов не было (проверялось двумя сканерами вместе с хвостами).. Пользователи кроме админа и админа юзера 100% были вырублены. До взлома комп был чист. Возможно как то связано с торрентом... Во всяком случае когда у клавы- такое прохлопать не мог- Второй хард трескучий. Ловил в журнале ОР только подозрительные входящие без ответа компа. При включении торрента пачками и сериями шли блокируемые атаки open tear и dos. имхо- проверяли. Лезли только тогда кода работал только торрент и не было другой активности. При первом же открытии второй стемы и обнаружении взлома, на рабочем столе в обои насмерть было вбито собщение ОР "процесс, невозможный соотнести ни с одним процессов системы...ИСХОДЯЩЕЕ.. айпишник.. порт 1900". До кучи norton после обновы снес без комментов автоматически в этом томе Win32/Worm (поэтому просмотреть что это и где не удалось) Пробовал все вырубить. при перезагрузе или в первом или во втором томе врубается служба сервер и делает все тома открытыми ("этот ресурс создан в административных целях... откроется вновь после перезагруза.. или запуска службы сервер" ..."нет доступа") + торчит удаленное администрирование. Форматнул второй том. Вроде бы все уже под контролем.. Владельцев томов естественно поменял. Начал переустанавливать ОР 7 полностью в ручном режиме настроек. Вроде взял под контроль все. После регистрации и обновления ОР получаю кучу сообщений с кучей айпишнников в нескольких диапах "процесс, несопоставимый ни с одним процессов системы исходящее .." Блокирую..Полез проверять в ОР -порт 1900 торчит, "автоматически созданное правило" а при установке четко забил- "не создавать автоматически". В добавок изменить правило на блокирующее не удается. opera:config- "отказано в доступе". Прикольно. снес оперу. Перезагрузился. Одна запись из 2 из 1900 порта свалила. вроде и блокирнуть оставшееся удалось. Попер исходящий трафик по 1-2 пакета в секунду подключение нета не включено, ОР ничерта не видит кроме тех пакетов что с провом. После блокировки 1900 порт свалил из журнала портов полностью. Заглянул в правила -снова после перезагруза-"порт 1900 автоматически созданное правило- Исходящее" новая строка с "разрешено" но в журнале портов уже 1900 нет. Впечатление что то тупо долбит в сеть то что ОР не видит, так как исходящий трафик начавшийся после сноса оперы и блокировки остального что торчит в 1900 порту продолжает переть. До кучи примерно тож с 123 портом. В связи с чем вопрос. Мог ли взлом произойти из-за небрежной настройки винды во втором томе и так что защита в первом рабочем томе коннекта не увидела. И где тогда дыра. Может ли при обновах винды произойти измение настроек касаемых удаленного администрирования, включения учетных записей пользователей и общих ресурсов. Что за эксплойт, где может торчать и как обнаружить самого троя а не то что он творит в реестре и винде.(прог удаленного администрирования на компе тщательно избегаю). Плиз не по админски заумно (обычный лузер- долго буду врубаться). Утилиты для сноса просьба не предлагать (всегда хочу видеть что сносится и где и подтверждать снос -кто понимает причины- меня поймет тем более что всей этой хне НЕ ВЕРЮ. Видел как они в свое время абсолютно все обгадились на убогом Pviever - доверие только своим глазам и ручному поиску.просьба без обид, но предложения супердырявых вещей типа eset просто буду игнорировать). Ко всему очень бы хотелось иметь под рукой адекватные средства проверки svchost и winlogon (просмотр вручную с расположением того откуда этот процесс попадает в процессы винды и редактированием этого дела) желательно не очень заумные. |
|
|
Отправлено: 20:12, 01-06-2010 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Цитата иваниваныч:
|
|
|
------- Отправлено: 20:25, 01-06-2010 | #2 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать цепляю срипты. Делал впервые -если что сорь. Второй скрипт АВЗ после удаления kyjak делал. Оut Post вообще уже башню сносит/ в общем скрин обрезать лень на коннект с мелкомягкими ругается. тож "системный трафик не может быть соотнесен ни с одним процессом ситемы" / и левая сетевая именно от ОР идет. но порт 1900 подтверждает и порт эксплорер. (вообще всего что было не говорю.. тут вообще был полный расколбас вплоть до отказа бесперебойника- над настройки проверить.. до появления и исчезания на столе ярлыков). Защиту переустановлю, когда адекватно будет работать, попробую дырку открыть и на живца половить. какая то мразь должнаж на огонек нарисоваться
  |
|
Отправлено: 02:20, 02-06-2010 | #3 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать не до компа было..порт 1900- дырявый акронис. ошибки и дыры вижу. (несколько пар кривых рук, старая и запущенная система с кучей хлама..)осточертело разбираться с chkdsk, затертым boot.ini. сносом подключений непринятием паролей и прочими радостями. закатал винду в свободный том.. формат- "невозможно полное форматирование"... 120 гиг висит... кое где нет доступа..Хотяб как и чем форматнуть- мож кто подскажет?...а то похоже траблы на новую винду переходят понемногу..
|
|
Отправлено: 18:18, 07-08-2010 | #4 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать торрент непричем- просто под него лезли. залезли через реальные дыры. винда та что закатал отправилась через энное время к стертой с теми же траблами. попытки повторных установок прошли с ошибками.. траблы с обеими хардами; chkdsk, вижу не вижу хард форматирование одного из хардов при переустановки с диска прошло на ура- результат 0 - те же траблы. где проблема нашел и с трудом затер. авирь- любой здесь точно бесполезен...после чего закатал винду и наконец смог нормально вылезти в нет и понять а чё это было. самое очень обидное что все лечится.. затер кучу всего что было нужно но не очень перетаскивая файлы из тома в том по несколько раз... представляю если кто то попадет у кого фото- видео море. Всем огромное спасиб за отзывчивость.
 Всемогущий админ закрой монолог плиз. |
|
|
Отправлено: 03:13, 10-08-2010 | #5 |
|
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать иваниваныч, Логи сделаны утилитой версии 4.32, это старая. Выполните рекомендации и прикрепите к следующему сообщению полученные логи. Будем думать.
|
|
------- Отправлено: 08:26, 10-08-2010 | #6 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| очень нужна ваша помощь. возможно ВИРУС | kcenij | Лечение систем от вредоносных программ | 1 | 26-05-2010 13:28 | |
| Помощь нужна | parus5990 | Флейм | 4 | 01-12-2008 20:32 | |
| Нужна помощь | umr2 | Непонятные проблемы с Железом | 70 | 11-09-2006 11:04 | |
| Установка 98-й как 2-ой операционке | 6rey | Microsoft Windows 95/98/Me (архив) | 4 | 08-04-2004 18:35 | |
| Нужна помощь | TVI | Microsoft Windows 2000/XP | 6 | 26-04-2003 21:31 | |
|
|
Время: 07:04. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
