Задолбал вирус servicehost.exe

[alexcat]

Цитата:

Сообщение от awaken

дело в том что в Винде "обычный" юзер имеет админские привилегии , а в линуксе нет

Не совсем верно. В винде пользователь по умолчанию - админ, а "обычного" еще нужно создать. А в той же Убунту root'а изначально вообще нет, его нужно активировать, и даже после этого войти в систему как root нельзя, можно только выполнять команды от его имени (su, sudo).

[Grebnev]

Переставь винду и завязывай с сомнительными сайтами.

[Garikk]

Цитата:

Сообщение от alexcat

и даже после этого войти в систему как root нельзя, можно только выполнять команды от его имени (su, sudo).

таки можно если очень захотеть
sudo su

[Garikk]

Цитата:

Сообщение от awaken

количество вирусов под линукс ничтожно мало по сравнению с виндой,
и не только из-за "непопулярности" этой ОС
дело в том что в Винде "обычный" юзер имеет админские привилегии , а в линуксе нет

Это весомая причина, но не основная, основная в том что пользователь неглядя тыкнет "ok" (в виндовом UAC) или введёт пароль на повышение привелегий в линухе, если программа вдруг его попросит.

Основная причина в винде - отсутствие привычки ставить обновления на систему, линух приходится обновлять часто т.к. он устроен по другому т.к. имеет очень много зависимостей внутри себя...и живых эксплойтов поэтому меньше и срок жизни вирусов (а они вообще существуют?) минимален т.к. единовременное существование большого количества систем под Linux с одной и тойже уязвимостью маловероятно.
....А некоторые до сих пор не хотят "по принципиальным сображениям" SP3 на XP ставить...

Можно обложится антивирусами, но через незакрытую уязвимость вирь всёравно пролезет.

Как в примере с авастом, он верещал что не только вирус нашёл но и вылечил его. причём с периодичностью раз в 10 сек. (мой минус для аваста в том что он не остановился после перекрытия источника заражения->отключение компа от сети)

У меня на прошлой работе, когда проходил аудит ИТ безопасности, очень классно показали как взламывается корпоративная сеть. в линухе достаточно не поставить последнее обновление например на ssh и через 10 минут усиленной работы спец.софта (которым проводили аудит) и полный root доступ к системе.
С виндой совершенно аналогичная ситуация.

[alexcat]

Цитата:

Сообщение от Garikk

таки можно если очень захотеть sudo su

Хм, действительно...

[alexcat]

Цитата:

Сообщение от Garikk

...введёт пароль на повышение привелегий в линухе, если программа вдруг его попросит.

Если он его знает.

[le Sandro]

Garikk, не поверишь, до прихода 3 года назад на новое место работы, на шлюзе стояла Suse 9, и все прекрасно работало и не обновлялось ~1,5-2 года. Пришлось прыгать сразу на 11.0.
Awaken, покажи, плиз, хоть один деструктивный вирус под никсы, жутко интересно стало.
Топикстартеру, вытащи KAV rescue disk или Нод, или DrWeb аналоги и нормально прочисть систему. Кстати, у каспера есть и восстанавливающие утилиты после деструктивных действий вирусов.

[Zabor]

Цитата:

Сообщение от awaken

svchost не является обновляемой программой, поэтому обновлять он ничего не должен по определению.
это служебный процесс предназначенный для запуска системных сервисов в виде DLL, не имеющих собственного запускаемого .exe файл...

Вот я тебе про что и говорю, любая программа, установившая службу регулярного обновления породит очередной юзерский или системный svchost.

[Garikk]

Цитата:

Сообщение от le Sandro

Garikk, не поверишь, до прихода 3 года назад на новое место работы, на шлюзе стояла Suse 9, и все прекрасно работало и не обновлялось ~1,5-2 года.

это до поры до времени, пока контора по принципу индейца джо работает

Прекрасно все работать будет и на более старом софте...и на nt4 и на NetWare и os/2 опасность не в стабильности, а в устойчивости к проникновению.

Все делается просто даже админских прав не надо:

1) Сотруднику организации отправляется файлик с самописным эксплойтом (который гарантировано не поймается антивирем) с дибильнм описанием стиле: запусти и будет круто
2) сотрудник запускает - выкачиваем из интернета троянца
3) запускаем троянца - тыкаем в шлюз ИЗНУТРИ по известным дырам
4а) получаем рут на шлюзе - открываем наружу порт
4б) допустим шлюз закрыт -ищем всю сеть на наличие дырок - получаем доступ там и оттуда пытаемся найти выход в подсеть с серверами далее п.4а
5) кидаем мост наружу и вуаля...
---
и это делается автоматом, есть спец.наборы софта для проверки которым безопастники пользуются...
--
еще раз говорю, я был поражен результатами аудита ИТ при том что у нас была очень сложная и закрытая в т.ч. изнутри сеть с жестким разделением прав доступа... вскрыть могут чутьли не через NTP

[awaken]

по теме
процесс експлорером обнаружил что за дочерний процесс прицепился к svchost,
и нашел вот это

C:\Documents and Settings\viktor.VIKTOR-DEV\Start Menu\Programs\Startup\2mrew7j6b.exe

но при попытке удалить из консоли, винда говорит что такого файла нет
видимо это руткит какой-то, он есть но не виден.
как его прибить?

[alexcat]

Его и в самом деле там нет. При запуске системы он распаковывается из другого места по указанному пути, загружается в ОЗУ и уничтожается. Причем имя файла при каждом запуске может быть разным. Рекомендую очистить все папки типа Temp в Documents and Settings, обычно там зараза сидит.

[Zabor]

Модульный вирус... такое дерьмо может вшиться в тело любого файла и выскакивать как чОрт из табакерки при каждой загрузке, отыскивать такие финты чрезмерно затратно по времени и бесполезно для опыта, в следующий раз будет другая схема его работы и не факт, что удалишь за несколько часов кропотливой работы всю гадость.

Наиболее быстрое и эффективное решение - выстрел бронебойным из танка, т.е. перезапись раздела C из эталонного образа уже настроенной ОС, но обычно этот образ не делают и главное - привычка никогда не сохранять настройки программ и любые важные данные на Це вырабатывается годами...

[alexcat]

Цитата:

Сообщение от Zabor

Модульный вирус... такое дерьмо может вшиться в тело любого файла...

Какие мне попадались, прятались в "левых" файлах даже порой без расширения.

Цитата:

Сообщение от Zabor

...но обычно этот образ не делают и главное - привычка никогда не сохранять настройки программ и любые важные данные на Це вырабатывается годами...

Я делаю... И данные храню на D:... Или на внешних дисках...

[Zabor]

Мне больше везло на системные, естественно включая файлы в дллкаше (dllcache), когда практически все перезатер под PE оригиналами и думал, что победил - оно опять вылезло, полдня в .... с тех пор я сразу танк выкатываю, получается быстро (10 минут вместе с перекуром) и нервы при этом ровные и шелковистые =)).

Кстати про дллкашу, она у меня уже давно пустая, иногда попадались экземпляры, которые создавали в пустой папке копию зараженного файла, видимо предполагая перезапись резервного, чем себя палили, но не все вири этого класса такие "глупые".

[le Sandro]

Цитата:

Сообщение от Zabor

.....привычка никогда не сохранять настройки программ и любые важные данные на Це вырабатывается годами...

Золотые слова. Я своих 170 юзеров за 3 года уже к этому приучил.