Не доступен symantec.com

← →
Рамиль © (2004-06-06 12:17) [0]

Похоже пролез какой то червь и заблокировал работу антивируса. Вручную я его не откопал - откатил систему. Теперь антивирус вроде работает, но не доступен symantec.com, и соответственно нельзя обновить базы. При поверхностной проверке выяснилось, что:
C:\Documents and Settings\Ramil>tracert www.symantec.com Трассировка маршрута к www.symantec.com [127.0.0.1] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс localhost [127.0.0.1] Трассировка завершена.
И ping такой же соответственно.
Где это прописано? Или червь сидит до сих пор замаскированный...
З. Ы. Что не везет мне в последнее время, нафига я, спрашивается, без брандмауэра в интернет полез.

← →
RealRascal © (2004-06-06 12:28) [1]

а у меня когда в IE неправильный адрес вводишь то пинает какой-то порносайт. сколько не искал, так и не нашел как его например на "яндекс" поменять.

← →
Anatoly Podgoretsky © (2004-06-06 12:44) [2]

Поправь файл hosts

← →
Рамиль © (2004-06-06 12:53) [3]

> Anatoly Podgoretsky © (06.06.04 12:44) [2]

Его я сразу посмотрел, нормально там все...
Единственная запись
127.0.0.1 localhost

← →
SkyRanger © (2004-06-06 12:56) [4]

Напиши route print
и там глянь справку и удали рут локальный корявый

← →
KilkennyCat © (2004-06-06 13:09) [5]

еще вариант - в поиске, содержание в тексте, ищется наименование козявки. И не зыбывайте про regedit

← →
Рамиль © (2004-06-06 13:10) [6]

> Anatoly Podgoretsky © (06.06.04 12:44) [2]

Ты прав.
Эта зараза добавила в hosts n-ое количество пустых строк, а в конце дописала, так что на первый взгляд при просмотре все нормально выглядит, а в конце
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
Чего только не придумают... Руки рвать надо без суда.

← →
YurikGl © (2004-06-06 13:15) [7]

Рамиль © (06.06.04 13:10) [6]

Хорошо тебе. У меня какая-то зараза вычеркнула из списка LiveUpdate NIS-у и NAV, + стриничка windowsupdate загружается, но выдает ошибку.

Своего я так и не поймал :( Диплом висит.

← →
RealRascal © (2004-06-06 14:19) [8]

а где этот файл лежит (hosts)?

← →
YurikGl © (2004-06-06 14:23) [9]

windows\system32\drivers\etc если не ошибаюсь

← →
Anatoly Podgoretsky © (2004-06-06 14:33) [10]

RealRascal © (06.06.04 14:19) [8]
В Виндоус между прочим есть поиск и очень хороший, вот с этого стоит и начать, с обучения работы в Виндоус.

← →
DeadMeat © (2004-06-06 14:41) [11]

<offtopic>
Не очень та он и хорош... Хотя мож я не знаю как его полностью подстроить, но по тексту он не всегда находил то, что я искал... При этом с теми же критериями с поиском справлялся как Far так и DiscoCommander
</offtopic>

---
...Death Is Only The Begining...

← →
Iraizor © (2004-06-06 14:51) [12]

Рамиль ©
ты случайно на www.goblinperevod.com не ходил ?

← →
Mim1 © (2004-06-06 14:56) [13]

> Своего я так и не поймал :( Диплом висит.

У меня была интересная история. Некий знакомый студент мрился с макровирусом будучи увереным что он безопасный, и ничего кроме заражения других файлов не делает. И вот однажды он приперся ко мне со своим винтом будучу уверенным что он у него полетел изза некоторого собоя. Воостанавливаю первый попавшийся документ, смотрю в антивирусе название казявки, захожу на viruslist читаю описание.
Оказывается эта зараза прибивает диск вчерашней датой :). К стати диски померли еще у 4х доверчивых людочеловеков которые общались с этим №;%.
Так что...

← →
YurikGl © (2004-06-06 15:07) [14]

Mim1 © (06.06.04 14:56) [13]

Сканирование диска на ночь ставлю и Updatю антивиры. Пока ничто не ловит.

← →
YurikGl © (2004-06-06 15:10) [15]

Вообщето Касперский поймал
TrojanDownloader.Win32.IstBar.cg

Но описания его я не нашел. Судя по названию, - наверно безобидный.

NAV его не видит.
Хочешь, - могу скинуть.

← →
RealRascal © (2004-06-06 15:19) [16]

> [10] Anatoly Podgoretsky © (06.06.04 14:33)

натюрлих, я его сначала поискал...
не нашел он его. скрытое/системное почекано

← →
Рамиль © (2004-06-06 15:32) [17]

> Iraizor © (06.06.04 14:51) [12]

Неа..

Так я его и не выловил, даже в System Volume Information его нет почему то, хотя после восстановления системы должен там остаться по идее.. То ли новый слишком. Как он, зараза, монитор антивирусный остановить умудрился только. Причем при попытке запуска монитора в ручную NAV писал "Service can not be stopped" и ссылался на какую то системную ошибку.
Кстати, после заражения в процессах упорно появлялись tftp.exe и wow32.exe Какая та разновидность sasser походу.
Да еще в System32 остался файл TFTP3380, созданный 5 июня 2004 г., 22:52:54, как раз во время заражения, NAV на него почему то промолчал. Заголовок EXE у него есть, но не запускается.

Пойду я заплатку качать.

← →
Рамиль © (2004-06-06 16:01) [18]

Так... Раскопал я этого зверя. Некий файл под названием
netclnt.exe После его запуска (причем запускается он под SYSTEM) опять файл hosts переписался и монитор антивирусный накрылся. NAV промолчал.
Причем я его нашел в
c:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\NKNWJGCW\netclnt[1].exe
Ничего не понимаю в итоге. Через IE залез что ли?

← →
RealRascal © (2004-06-06 16:16) [19]

А KAV, интересно, допустит такой беспредел?

← →
Anatoly Podgoretsky © (2004-06-06 16:33) [20]

Такие антивирусы надо выкидывать.

← →
Рамиль © (2004-06-06 17:13) [21]

> RealRascal © (06.06.04 16:16) [19]

Выслать? :)

Это, видетели, оказывается служба "Network Client"
Описание
"Creates and maintains client network connections to remote servers. If this service is stopped, these connections will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start."

← →
RealRascal © (2004-06-06 17:22) [22]

не хило фантазия у вирописателя сработала.

> Кстати, после заражения в процессах упорно появлялись tftp.exe
> и wow32.exe

А вот название wow32.exe меня настороживает. У меня время от времени в процессах появляется файл с похожим названием - wowexec.exe, 16-битный процесс, характеризующий себя как Win16 application launcher. У кого-нибудь такой есть или это тоже бяка?

Притом его появление обычно никак не связано с запуском 16-битных программ.

> Есть только wow32.dll, exe нет, в XP, по крайней мере.

У меня Win2k, но длл-ка тоже имеется.

Agent13 © (06.06.04 17:52) [23]

Если я не ошибаюсь эта штука позволяет запускать 16-ти разрядные приложения в 32-х разрядной винда.

Agent13 ©
wowexec - действительно сис процесс, не вирь.

Рамиль ©
ну как может антивирь просканить файлы виря, када он торчит в памяти ? загрузи ProcessKiller и завали все что настораживает, могу отослать список процессов , которые висят в абсолютно чистой винде XP. после разборок уже и скань.
Притом продвинутые вири подгружают в память DLL библиотеки... которые и выполняют нехорошие функции, тут сложнее,надо качать еще более крутую прогу ,которая может отображать подгруженные в процессы библиотеки, у меня один такой был , который в память ВинЛогона грузил 2 библиотеки(сам себе закачал, знакомый попросил посотреть). Вобщем если найдешь такую прогу закрывай хэндл на dll ки,которые были загружены позже создания процесса , processExplorer такие даже выделяет вроде, а потом скань.ПС еще более суперские вири меняют дату создания своих файлов на дату установки системы ... а некоторые еще и файрволы ломают...
tftp.exe и wow32.exe 90% , что нехорошие процессы.

> tftp.exe

нормальный процесс, его ненормально запустили только, wow32 походу, тоже нормальный :)

> ну как может антивирь просканить файлы виря, када он торчит
> в памяти

Да не был он запущен, а запустившись остановил монитор. Антивирусный монитор я никогда не отключаю, тем более при коннекте к интернету. А кстати прекрасно сканит и в памяти - закрывает процесс и лечит (удаляет) файл.

Рамиль ©
нету у мя на тачке wow32.exe +) систему недавно в очередной раз переустанавливал ,после бойни с каким-то суперским трояном (хобби у мя такое , закачивать на старую тачку новые вири и воевать с ними ++) ) а вот tftp.exe имеется .. в двух экземплярах, похоже , что это действительно нужный системный екзешник (Trivial File Transport Protocol)...а твой вирь его юзает активно ... или просто заразил или все ок =).
А вот список гуд процессов
User
-----------------
Explorer.exe
CTFMON.exe

System
--------------------
ALG.EXE
SVCHOST.EXE
SVCHOST.EXE
CSRSS.EXE
LSASS.EXE
SERVICES.EXE
SMSS.EXE
SPOOLSV.EXE
SVCHOST.EXE
SVCHOST.EXE
System
System Idle Process
WINLOGON.EXE

Ни к одной категории не относятся(таск манагер НЕ показывает)
--------------------
DPCs
Interrupts

Не доступен symantec.com Найти похожие ветки