Вирус на ТП

[Визиточник-маньяк]

Цитата:

Сообщение от Pavel Pechatnikov

ну раз уж такая пьянка пошла, то и мне помогите - достали вирусы Дело такое:
в офисе компы все в своей сети, подключены все к отдельной сетевухе в компе-аля-серваке (далее по тексту "сервак"), сервак через другую сетевуху подрублен к зданию-провайдеру. На "серваке" стоит виндасервер2003. Пришлось серваку назначить выделенный айпи. "Огород" этот потребовался чтобы я мог с дома/дачи/бассейнавюговосточнойазии подрубаться через впн к серваку и далее через удаленный рабочий стол к любому компу в офисе, в том числе и посылать задания на печать со своего офисного компа (очень удобно кстати). Далее. Есть сайт. На сайте есть кнопочка "закачать макет на фтп". Ей почти никто и никогда не пользуется.... Но пару раз я заметил что через эту хрень на сервак залили несколько непонятных файликов с почти нулевой длиной... В общем кончилось это тем, чего и стоило ожидать: сервак с декабря работает примерно минут 15-20 и потом зависает нафиг. Точнее "подвисает" - проц грузится на 100% системной задачей типа csrss.exe, lsass.exe или svchost.exe, которые нельзя отрубить. Далее сервак перестает через себя пропускать айпи трафик. На локальных компах стоят касперские и др/веб, которые видят какие-то атаки с айпи сервера и блокируют попытки связи с ним (а к нему еще и офисный принтер подрублен). Сервак раздает всем сифилисы свои. Эти вирусняки на локалках либо лечатся без проблем, либо антивири их сразу же блокируют.
С серваком сложнее: вирь на нем блокирует доступ к сайтам майкрософта, касперского, дрвеба и остальных антивирей. Таким образом я не могу установить и активировать легальный антивирь Помимо этого он блокирует запуск антивирей (установщиков), других программ. Пробовал запускать с флешки дрвеб на серваке - лечит штук 8 разных вирусов, но толку ноль - потом они опять все на месте, да еще даже не они, а они +другие ))))))). Всегда есть вирусы типа Shadow based, которые всегда появляются и не могу я от них избавиться - гуляют по всей сети
Седня к ним присоединились win32.hllw.piabot, trojan.mulprpop.4022 и еще какие-то.

Разбирающимся. Посоветуйте, что можно сделать? Хотел вместо виндысервер2003 использовать хр обычную, но она "открывает" всю локальную сеть в мир иной (из-за выделенного айпи), а этого мне не надо и требует назначить адрес для сетевухи-раздатки для "общего доступа к интернету" в виде 192.168.0.1, а мне нельзя этот адрес назначать... Касперский на сервак не ставиться. Дрвеб не спасает. Что можно поставить и нужно ли? Доступ с фтп сайта на папку на сервере - можно этим пожертвовать, но вообще-то в дальней перспективе это не правильно. Да и вряд ли в этом дело.
ЗЫ. Админа позволить себе не можем.
Что и как установить и как жить дальше?

Паш, он скорее всего у тебя уже как под ДДОС атаки работает и еще как прокси.

[mandragory]

вот так вот...

[Valery]

Цитата:

Сообщение от mandragory

Вложение 328
вот так вот...

ща гугли его еще в свой блеклист вобьют и тогда вот хреново будет

[KALENDAR.RU]

Я не разбираюсь в деталях, но мне кажется, что раз вирус заносят непосредственно на хостинг, то надо пинать хостеров или поменять их.

[cd-print]

Я там уже писал свое скромное мнение о том что и как надо делать с вирусом. Вирус или лезет через банерную сеть (значит надо забить банерную сеть пусть банерообменник сам разбирается) или встраивается в тело форума. Но это возможно только если украли пароль от FTP доступа к хостеру.
Лечится лечением (или сносом и переустановкай винды) на локальном копьютере администратора ну и установкой Internet Security на локальный компьютер администратора. Далее уже с заведомо чистого компьютера меняется пароль доступа по FTP к хостеру, ну и затем код форума тупа перезаливается заново. Заодно надо попинать хостера. Может это с него пароли крадут (что супер мало вероятно). Ну тогда уже надо поменять хостера. Чудес на свете не бывает.

З.Ы. Я вообще-то туда принципиально уже не хожу. Если с вирусом не разобрались за неделю (а тут уже и месяц прошел) то кто-то что-то совсем не хочет делать.

[cd-print]

Pavel Pechatnikov, Я поставил себе D-Link DI-808HV c VPN. Пока его еще ник-то не пробил, но судя по логам пытаюся каждый день. В основеном ломятся в Виндузячии порты. Одно не удобно. Что-бы ходить в сеть на работе необходимо иметь еще один такой-же дома. А с ноутбуком вообще нереально.

[KALENDAR.RU]

Цитата:

Сообщение от cd-print

Я там уже писал свое скромное мнение о том что и как надо делать с вирусом. Вирус или лезет через банерную сеть (значит надо забить банерную сеть пусть банерообменник сам разбирается) или встраивается в тело форума.

Какую сеть Вы имеете ввиду? Директ? Да они установлены на тысячах сайтов - и ничего! Или Вы думаете, что Яндекс не умеет их защищать?

Цитата:

Сообщение от cd-print

Но это возможно только если украли пароль от FTP доступа к хостеру.

Для этого надо ломануть комп Михаила для начала, а это никто не будет делать. Я уверен, что ломали непосредственно ТП.

Цитата:

Сообщение от cd-print

Заодно надо попинать хостера. Может это с него пароли крадут (что супер мало вероятно).

А мне это представляется вероятней всего и логичней.

[cd-print]

Как раз комп Михаила ломануть проще всего. У меня ведь то-же форум. И тоже антивирус стоит. И тем не менее у меня этот-же вирус сидел. Последовательность проделанных операций мне помогла избавится от вируса.

Вот еще. У меня хостинг на Юниксе. Может еще в этом проблема.

Директ - это не банеро-обменник.
У Михаила там еще чего-то крутится кроме директа.

[KALENDAR.RU]

Цитата:

Сообщение от cd-print

Как раз комп Михаила ломануть проще всего.

Да, но надо ЦЕЛЕНАПРАВЛЕННО ломать его комп. То есть, под заказ, а я в этом сомневаюсь

Цитата:

Сообщение от cd-print

У меня ведь то-же форум. И тоже антивирус стоит. И тем не менее у меня этот-же вирус сидел.

Вирус сидел на форуме или на Вашем компе? То есть, Вы хотите сказать, что кто-то ломанул Ваш комп, а потом рванулся на форум?

[aleks-th]

Цитата:

Сообщение от cd-print

Pavel Pechatnikov, Я поставил себе D-Link DI-808HV c VPN. Пока его еще ник-то не пробил, но судя по логам пытаюся каждый день. В основеном ломятся в Виндузячии порты. Одно не удобно. Что-бы ходить в сеть на работе необходимо иметь еще один такой-же дома. А с ноутбуком вообще нереально.

D-link - не лучший вариант , конкретно этот работает хорошо но имеет массу ограничений про одно из них вы уже написали.

Из демократичных вариантов

Linksys\Cisco RV042 -имеет след VPN фичи
pptp -5 пользователей,
ipsec - 50 каналов между устройствами(либо 50 индивидуальных пользователей) - второй такой дома не обязателен
Настраивается за 15 минут неподготовленым пользователем.


Самый демократичный вариант но требует некоторых навыков ящик с 2-мя сетевушками , + заливка с Linux-ом , по надежности надежнее D-link по гибкости настроек на сколько хватит фантазии...
Из линуксов можно взять любой какой душа пожелает ..
Yatta - pptp настраивается нормально быстро и легко , все остально требует совсем специализированных навыков.
Ежли кому нужно могу выложить готовый образ собраного Gentu под 2 гиговую флешку для роутеров, который мы в своих роутерах используем как раз под эти задачи.

Коннектится можно с ноутбука с любым провайдером кроме страшного билайна который wifi-free он гад GRE- пакеты зарубает нафик..
Под Йотой и Скайлинком pptp и ipsec нормально работают.