Bloklé porty - poradna.net

Ahoj
Mám problé s bloklými porty od UPC, skrze Virové útoky. Na bytě kde jsem je na wifirouter připojeno 5 lidí a já mám problém efektivně odstranit naše viry. Na všech pc nemůžu z určitých důvodů provést format, který by mi zajistil čistotu na pcs.
Nemáte někdo nějaký nápad, jak zjisti které kompy jsou toho příčinou?
Chtěl jsem zkusit Ettercap ve spojení s Wiresharkem, ale jakmile v Ettercapu spustím sniffing po nastavení arp pisoningu, tak mi program spadne a navíc tak na nějakých 5 min odpojí ostatní pc od netu úplně.
S problémem bloklých portů bojuji už tři týdny a dokud nepořeším naše kompy, tak mi upc nemá v úmyslu porty odblokovat. Nemohli byste mi někdo spolehlivě poradit ohledně Ettercapu dál a nebo jiné řešení? Za každý nápad jsem vděčný, jelikož jsem z toho již úplně nahlavu:/

Předmět	Autor	Datum
LOL :-D arp poisoning na wifine :-D preju hodne stesti. JR_Ewing 23.04.2009 19:02	JR_Ewing	23.04.2009 19:02
Prosimta a to nemozes na tie PC zajst a prescanovat ich slusnym antivirom, a superantispyware? To t… MM.. 23.04.2009 19:07	MM..	23.04.2009 19:07
Nemas tam conficker nahodou takovej malej virecek, doporucuji stahnout i kdyby trial nod32 pomuze ce… virus 23.04.2009 19:20	virus	23.04.2009 19:20
http://pc.poradna.net/f/view/370694-uistite-sa-ze- vo-svojom-pc-nemate-virus-conficker MM.. 23.04.2009 19:30	MM..	23.04.2009 19:30
NOD32 vypis virove database: ▪ Win32/Conficker.X ▪ Win32/Conficker.AA ▪ Win32/Conficker.A ▪ Win32/C… virus 23.04.2009 19:23	virus	23.04.2009 19:23
1. na routeru vyblokovat směrem ven port 25, ponechat jen SMTP ISP, případně ještě třeba smtp.seznam… touchwood 23.04.2009 20:46	touchwood	23.04.2009 20:46
Taky nechápu kde je problém s kontrolou 5-ti PC nějakým antivirem. Jestli někdo nechce spolupracovat… jbo 24.04.2009 14:29	jbo	24.04.2009 14:29
Mno já to dělám jen když mám čas a toho není nikdy moc, takže se starat o nějakých dalších pět pc je… Palach 26.04.2009 19:17	Palach	26.04.2009 19:17
Každopádně jsem si naistaloval superantispyware a ten mi našel ještě trojana u mě, což je po formátu… virus 27.04.2009 07:54	virus	27.04.2009 07:54
Zde jsou informace o odchozím viru: osc: 2179939 typ: VIR incident ip: 94.113.104.76 cas inciden… Palach 27.04.2009 11:36	Palach	27.04.2009 11:36
http://www.eset.eu/tlacove-conficker-removal-slove nsko-narast 25625 Joseph 27.04.2009 11:59	Joseph	27.04.2009 11:59
Výborné, díky Ps: je pravda že s flaskou byly haluze, hlavně jsem nechápal jak se na ní znovu dostal… Palach 27.04.2009 12:03	Palach	27.04.2009 12:03
Tak jsem zajistil bezpečnost všech pc až na jeden notebook, který domítá příjmout jakýkoliv antivito… Palach 03.05.2009 13:41	Palach	03.05.2009 13:41
Ovladače přece jsou na http://www.asus.com/Product.aspx?P_ID=GCsrgzLfPBfQ EEZW. U každého je dokonce… karel 03.05.2009 13:48	karel	03.05.2009 13:48
vyj... s ním: vytáhni mu disk, přípoj jako ho druhý k jinému pc, odviruj (detekuje ho i antispyware)… lední brtník 03.05.2009 14:56	lední brtník	03.05.2009 14:56
je to noťas, takže s diskem dělat nic nebudu když tam má záruku. O ovladačích něco tuším, ale nestid… Palach 03.05.2009 23:09	Palach	03.05.2009 23:09
Taketo fora fakt nesluzia ako nahrada RTFM. Ked sa hras na nejakeho admina tak mas mat na to aspon z… MM.. 04.05.2009 00:19	MM..	04.05.2009 00:19
ještě jednou a pomalu: - disk z notebooku jde vytáhnout, pokud je sata tak dokonce přes stejné sata… lední brtník 04.05.2009 00:37	lední brtník	04.05.2009 00:37
no tak u těch noťasů už bych se toho bál (vytahovat disk) a myslím že i má spolubydlící by si do toh… Palach 04.05.2009 00:39	Palach	04.05.2009 00:39
ok - můžeš zkusit nežádoucí/anonymní procesy v paměti pozabíjet přes nějaký process explorer / start… lední brtník 04.05.2009 00:45	lední brtník	04.05.2009 00:45
Zavolat na UPC at ti poslou hlavicku viru; nainstalujes na všechny pc treba spyware terminatora nebo… efw 12.06.2009 10:34	efw	12.06.2009 10:34
ne nevis jakej to je pc protoze pokud m ate rozdelenej net pres jeden router tak oni jen poslou vypi… suprabolak 15.08.2009 15:19	suprabolak	15.08.2009 15:19
OMG, pánové, nechcete si ty své "rozumy" nechat pro sebe? Takovéhle rady se dávají snad jen v hospod… poslední touchwood 15.08.2009 16:15	touchwood	15.08.2009 16:15

LOL arp poisoning na wifine preju hodne stesti.

Prosimta a to nemozes na tie PC zajst a prescanovat ich slusnym antivirom, a superantispyware?

To ti provider nenapisal ze preco konretne (presne) to zablokoval? Jaky utok, na co, na jakych portoch, na jake IP? Jaky vir?
Vir nemusi byt aktivny neustale takze nemusis vidiet vobec nic, alebo mozes vidiet pokusy pripojit sa na vela inych nahodnych IP - velky traffic.

Fyzicky skontrolovat 5 PC s antivirakom a superantispyware v nudzovom rezime je 1000x rychlejsie ako ten tvoj "vyskum" sniffingom.
P.S. tvoj router nema nahodou nejaky log? Statistiky?

P.S.2. a jake porty ti vlastne UPC zablokoval? Nie nahodou P2P? Ak ano tak to neni kvoli ziadnym virom

Nemas tam conficker nahodou takovej malej virecek, doporucuji stahnout i kdyby trial nod32 pomuze celkem slusne a nebo MWAV.exe od kasperky. Ale NOD32 ti to najde taky zkus to, doporucuji v nouzovem rezimu a nebo muzes pouzit live CD Ultimate.

http://pc.poradna.net/f/view/370694-uistite-sa-ze- vo-svojom-pc-nemate-virus-conficker

NOD32 vypis virove database:

▪ Win32/Conficker.X
▪ Win32/Conficker.AA
▪ Win32/Conficker.A
▪ Win32/Conficker.AQ
http://www.eset.cz/buxus/generate_page.php?page_id =1306&lng=cz

1. na routeru vyblokovat směrem ven port 25, ponechat jen SMTP ISP, případně ještě třeba smtp.seznam.cz
2. zjišťovat kdo se snaží spojovat na daném portu je nejlepší opět na routeru (kupodivu), nebudeš pak potřebovat šílenosti typu arp poisoning.

Jinak odvirovávat 3 neděle pět PC, to je opravdu "výkon"

Taky nechápu kde je problém s kontrolou 5-ti PC nějakým antivirem. Jestli někdo nechce spolupracovat, tak ho odpojte (zablokujte) na routeru.

Mno já to dělám jen když mám čas a toho není nikdy moc, takže se starat o nějakých dalších pět pc je pro mě práce navíc. (klidně bych je sformátoval všechny) Nemůžu např jen tak sformátovat jedné spolubydlící pc, protože na něm hrotí bakalářku a na to zase potřebuje net, takže u ní je to passe.
Na upc jsem si tedy napsal a odpověď:
...touto cestou Vám potvrzujeme, že jsme Váš požadavek předali k dořešení na kompetentní oddělení, které Vás bude kontaktovat v nejkratším možném termínu.

takže si počkám. Každopádně jsem si naistaloval superantispyware a ten mi našel ještě trojana u mě, což je po formátu (3 týdny z5) docela nezvyklé, na to že používám Kaspersky.
Každopádně tímhle bych chtěl pokračovat na všech kompech, jenže některé ty jejich systémy jsou tak zasrané, že jsou problémy i s instalací antivirů (i když jedu přes nouzový režim), pak jsi nejsem jist nakolik antivir faká správně?!

Co se nějakého bloku portů ven týče, jsem v tomhle nováček, takže se chytám za každá nabídlá stébla (tak jsem se dostal i k wiresharku), proto nechci moc do routeru zasahovat, jelikož bych nerad aby nešel net vůbec.

Každopádně jsem si naistaloval superantispyware a ten mi našel ještě trojana u mě, což je po formátu (3 týdny z5) docela nezvyklé, na to že používám Kaspersky

Pravdepodobne mas naky stazeny svinstvo v PC, je videt kam se u vas leze, doporucil bych projet PC a promazat vsivaky rucne.

Zde jsou informace o odchozím viru:

osc: 2179939

typ: VIR

incident ip: 94.113.104.76

cas incidentu: 23.04.2009 08:07:19

cas vytvoreni: 24.04.2009 08:55:16

poznamka: BOTS mwtype Conficker

Takže jsi měl pravdu, takže použiju mwav.exe (případně noda). Díky, snad už to bude vše.

http://www.eset.eu/tlacove-conficker-removal-slove nsko-narast

25625

Výborné, díky
Ps: je pravda že s flaskou byly haluze, hlavně jsem nechápal jak se na ní znovu dostal :)

Tak jsem zajistil bezpečnost všech pc až na jeden notebook, který domítá příjmout jakýkoliv antivitový systém. Test na confickera mi ukátal že je v paměti.
Chtěl bych teda formátovat, ale nejsem si jistý jak to vše je u noťasů.
Má http://asus.katalognotebooku.cz/notebook/asus-x51- h/
je třeba stáhnout asi nějaké ovladače. Nechci v tom uděla chybu, budu tam dávat XP sp3, nemohl byste mi poradit jaký ovladač stáhnout?
Děkuju moc

Ovladače přece jsou na http://www.asus.com/Product.aspx?P_ID=GCsrgzLfPBfQ EEZW. U každého je dokonce popis, k čemu slouží.

vyj... s ním: vytáhni mu disk, přípoj jako ho druhý k jinému pc, odviruj (detekuje ho i antispyware)

ale pokud vidím že ty chceš někomu formátovat systém a netušíš nic o ovladačích, hnal bych tě od svého pc mexickým krokem.

a dokud budou mít idioti ve vašem okolí povolený autorun, do té doby se vám budou viry přes flashky šířit.

je to noťas, takže s diskem dělat nic nebudu když tam má záruku.
O ovladačích něco tuším, ale nestidím se zde radši zeptat, než abych to musel dělat vícekrát (třeba jsem netušil že jich je na noťasi tolik..pro úplné pí****ny)
A místo aby jsi kritizoval, stačilo by jen říct kde upravím ten autorun,ať to nemusím hledat, dík.
PS: každý dělá něco, to neznamená že všichni mají čas prolézat vše na pc,jasně rtfm, ale na co by pak byly takovéhle fóra.

Taketo fora fakt nesluzia ako nahrada RTFM. Ked sa hras na nejakeho admina tak mas mat na to aspon zakladne znalosti (ani tie nemas), a cas, a nie cakat ze to za teba bude robit niekto na fore vo svojom volnom case.

ještě jednou a pomalu:
- disk z notebooku jde vytáhnout, pokud je sata tak dokonce přes stejné sata kabely jako ve stolním pc.
- tím že se z něj nestartuje (bude zapojen až jako další, nebo si v biosu zkontroluješ pořadí bootování), se nedokáže aktivovat jinak skrytý vir, nic neblokuje, a pro antivir z jiného systému není problém ho smazat.
- upravit \autorun.inf ti nepomůže, pokud budeš flashku vkládat do pc retardovaným samoadminům kteří už mají zavirované pc (právě díky svému povolenému autorunu). tvoje flashka se u nich zaviruje znovu - a pokud ji vložíš k sobě, máš vira zas.

REGEDIT4

; Vypnuti Autorun pro vsechny media
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

no tak u těch noťasů už bych se toho bál (vytahovat disk) a myslím že i má spolubydlící by si do toho šáhnout nedala.
za zbytek díky

ok - můžeš zkusit nežádoucí/anonymní procesy v paměti pozabíjet přes nějaký process explorer / starter apod. chce to trochu vědět co k čemu slouží, i když to ty nástroje píšou.
pak by mohlo jít vir zničit, pokud není zadřený v systému jako rootkit.

stejně mi vrtá hlavou že je v notebooku "zaplombovaný" disk, ale výrobcové jsou různí.

Zavolat na UPC at ti poslou hlavicku viru; nainstalujes na všechny pc treba spyware terminatora nebo ad-aware (sice to budes delat tak pul dne, protoze při blokaci na viru máš rychlost 128/64, ale je to jedine reseni). Jakmile viš podle toho co ti na upc reknou (jaký vir to je) jaky je to vir , tak ho proste najdes a vis jaky je to pc.

ne nevis jakej to je pc protoze pokud m ate rozdelenej net pres jeden router tak oni jen poslou vypis verejne ip co de z routeru takze poznas kulovi protoze dal router dhcp a secky kompy na jedne siti pres jeden router maj jednu verejnou ip na venek....
takze je to dost problematicky to hledat...

OMG, pánové, nechcete si ty své "rozumy" nechat pro sebe? Takovéhle rady se dávají snad jen v hospodách těsně před zavíračkou...

Zpět do poradny Odpovědět na původní otázku Nahoru