Троян mx.content-type.cn

Автор weend, 02 июля 2008, 11:59:00

0 Пользователи и 1 Гость просматривают эту тему.

Печать
Вниз Страницы 1 ... 3 4 5 6 Все
Действия пользователя

Vader

#60
22 июля 2008, 17:35:30 Последнее редактирование: 22 июля 2008, 17:48:55 от Vader
58-ой сегмент. При arp-a имею два разных мака у шлюза.
Добавляется JS с домена free.cjads.info

Что делать?
Если тебе дано предугадывать ход мыслей человека, случайностей не будет. © Пила

Rascal

#61
22 июля 2008, 17:56:46
Ну как минимум узнать чей мак заменяет шлюз и сообщить об этом либо пользователю (если есть контакты) либо тахиону.
Можешь еще реальный мак статикой поставить, через ту же команду arp.
Здесь каждая тварь мнит себя гением,
Здесь каждый хочет стать похожим на Ленина,
А я хочу стать похожим на Сталина,
Половину к стенке, остальных - по камерам!
© Черный Обелиск

Vader

#62
22 июля 2008, 18:18:41
Цитата: Rascal от 22 июля 2008, 17:56:46Можешь еще реальный мак статикой поставить, через ту же команду arp.
Можешь поподробнее?


Тахион только завтра - Домбровского на месте нет, а ребята из тп ничего не знают.
Послано: 22 Июля 2008, 18:15:26
Так, понял, что статику добавляет arp-s IP MAC. Но как мне узнать, какой из маков надо добавить?
Если тебе дано предугадывать ход мыслей человека, случайностей не будет. © Пила

Rascal

#63
22 июля 2008, 18:41:51
http://forum.from63.ru/index.php?topic=17175.msg218227#msg218227

чтобы по команде был список всех активных компов сегмента просканируй его с помощью какой-нибудь софтины, типа Lantricks
Здесь каждая тварь мнит себя гением,
Здесь каждый хочет стать похожим на Ленина,
А я хочу стать похожим на Сталина,
Половину к стенке, остальных - по камерам!
© Черный Обелиск

out063

#64
23 июля 2008, 12:55:54
странно у меня аутпост показывает атаку - попытка подмены шлюза с узла 192.168.134.116 и arp таблица показывает что он присутствует ... но никаким сканером я до него не могу достучатся , да и на пинги он не отвечает ... бред какойто ...
Послано: 23 Июля 2008, 12:27:42
нашел я выход вродебы... пока все чисто ... прога во вложениях ... читать readme...

ps: главное потыкать побольше вверх- ентер в cmd --> arp -a ipшлюза  чтобы выбить реальный мак шлюза

ps2: только все равно нада отрубать от сети все машины которые разносят эту заразу - ихмо хочу жить спокойно :)

weend

#65
23 июля 2008, 13:16:15
Про прогу: не знаю, чем она отличается от обычного задания арп-записи статичной, но в любом случае она помогает правильно добраться только до ближайшего шлюза, а ведь он, в свою очередь связан еще...
Кароче, помогает она не больше, чем стандартная статичная запись... :(

Цитата: out063 от 23 июля 2008, 12:55:54странно у меня аутпост показывает атаку - попытка подмены шлюза с узла 192.168.134.116 и arp таблица показывает что он присутствует ... но никаким сканером я до него не могу достучатся , да и на пинги он не отвечает ... бред какойто ...
P.S. А зачем добираться сканером до адреса, который уже знаешь? - нужно званить в тех.подд. и добиваться того, что бы они заставили этого юзверя "почистить" свой комп... А не отвечает он на пинги потому что включен у него режим невидимости либо самим трояном либо его файерволом.

out063

#66
23 июля 2008, 13:19:25 Последнее редактирование: 23 июля 2008, 13:45:22 от out063
Цитата: weend от 23 июля 2008, 13:16:15Про прогу: не знаю, чем она отличается от обычного задания арп-записи статичной, но в любом случае она помогает правильно добраться только до ближайшего шлюза, а ведь он, в свою очередь связан еще...
Кароче, помогает она не больше, чем стандартная статичная запись... :(

ну вот мне статичная запись не помогает почемуто - опять етот скрипт вылазиет ... прогу заюзал ничего больше не появляется ...  

зачем нам идти дальше своего шлюза ? подмена идет именно тут ...


странно как убралась все ета херня скорость скачки стала заявленной 110 - 115 кб / сек - до этого была не больше 70 -80 .. да и пинг в wow упал до 170 ( последнее время меньше 400 не опускалось ) ... конечно понимаю что скорее всего совпадение ... но если подумать что весь трафик проходил через подмененый шлюз ... то может и могло это скорость замедлять .. ?

Chubaka

#67
06 августа 2008, 22:41:59
граждане, скажите че делать чтоб избавится от этой гадости?! я человек далекий от мак адресов и арп и так далее, помогите уничтожить его!!

Fl1nt

#68
07 августа 2008, 01:40:43 Последнее редактирование: 07 августа 2008, 07:32:41 от Fl1nt
Format C:\ тебе в помощь...  =)

зы: а у мну его нет... о0

Human-oid

#69
07 августа 2008, 08:45:14
Цитата: Fl1nt от 07 августа 2008, 01:40:43Format C:\ тебе в помощь...  =)

зы: а у мну его нет... о0
"формат Ц:\" у тебя нет? могу бат-ник написать :)

weend

#70
07 августа 2008, 09:32:09
Цитата: Chubaka от 06 августа 2008, 22:41:59граждане, скажите че делать чтоб избавится от этой гадости?!
Звонить в тахион. Вируса, вероятнее всего, у тебя нет - он есть у другого компа в твоей подсети. С этим вирусом в тахионе уже знакомы...

Chubaka

#71
07 августа 2008, 19:58:29
формат ц - это самый крайний вариант, это все равно что если человек на бирже все бабло проигрывает то ты предлагаешь ему из окна выпрыгнуть, а не думать как дальше без денег жить.... так что буду звонить в тахион, to weend - хоть один норм совет дал, (я кста не знал что с подобными вопросами можно в тех поддержку обращатся, думал нах пошлют, мол комп ваш, вот и мудохйтесь с ним сами..)

weend

#72
07 августа 2008, 20:04:31 Последнее редактирование: 07 августа 2008, 20:11:44 от weend
Цитата: weend от 07 августа 2008, 09:32:09Вируса, вероятнее всего, у тебя нет - он есть у другого компа в твоей подсети.
А ты собрался лечить чужой комп? форматнув чужой диск))))

Human-oid

#73
07 августа 2008, 20:19:49
Цитата: Chubaka от 07 августа 2008, 18:58:29думал нах пошлют, мол комп ваш, вот и мудохйтесь с ним сами..)
ну покультурней слехка ;)
p.s.: а ты ищо дозвонись))

dru12

#74
09 августа 2008, 18:05:13
К списку url добавился v.freefl.info.
У всех этих серверов один ip:222.216.28.25

Улыбайся! Завтра будет хуже - закон Мэрфи
Печать
Вверх Страницы 1 ... 3 4 5 6 Все
Действия пользователя