Недавно стал замечать что ping до основного шлюза стал очень большим (более 1000).
И это в локальной сети. Админ ничего путного тоже сказать не мог — внешне все выглядело нормально.
Случайной подсказкой оказался роутер. В его логал я обнаружил что какой-то нехороший мак (mac адрес) утверждает , что он и есть мой родной шлюз.
Как оказалось это и была правда, а тот что видел роутер был подставным.
Такие атаки часты в локальных сетях. И антивирусы этих атак собственно и не видят. Узнать о них можно только по сообщениям фаервола, который а)есть не у всех, б) может быть не настроен должным образом.
Решение достаточно простое — показать Вашей сетевой карте, что есть шлюз.
Для этого вместо динамического мак-адреса шлюза нужно указать единственн верный.
Для этого напишем простейший bat-файл (обычный текстовый файл, но с расширением bat или cmd)
arp -s IP_gate mac_gate
например :
arp -s 192.168.1.1 00-00-00-00-00-00
где IP_gate — IP адрес Вашего шлюза, а mac_gate — его мак-адрес.
Так же не мешало бы проверить комп обновленными утилитами http://spider.bsyteam.net/59, и обновиться через Windows Update.
Полученный файл желательно кинуть в автозагрузку.
Основные признаки заражения вредоносными программами семейства Trojan-Spy.Win32.Zbot
- В папках %windir%system32 и %AppData% появляются файлы (один или несколько):
- ntos.exe
- twex.exe
- twext.exe
- oembios.exe
- sdra64.exe
- lowsec\local.ds
- lowsec\user.ds
%windir%system32 и %AppData% это системные папки операционной системы Microsoft Windows. В зависимости от того, какая именно версия ОС установлена на вашем компьютере, путь к этим папкам меняется.
Например, на ОС Windows Vista полные пути к этим папкам таковы: C:WindowsSystem32 и C:Users<имя_профиля>AppData. А на ОС Windows XP Professional — C:WINDOWSsystem32 и C:Documents and Settings<имя_профиля>Application Data.
- Ссылки на указанные выше подозрительные файлы появляются в следующих ключах системного реестра:
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Способы лечения зараженных систем
Лечение систем, зараженных вредоносными программами семейства Trojan-Spy.Win32.Zbot, производится с помощью утилиты ZbotKiller.exe. В ходе своей работы утилита:
- Проводит быстрое сканирование системы на наличие заражения.
- Находит и удаляет вредоносный код известных модификаций Trojan-Spy.Win32.Zbot, распространившийся в другие работающие на компьютере программы.
- Устраняет функциональность вредоносных программ, которая используется для сокрытия вредоносных файлов и процессов (rootkit).
- Удаляет вредоносные файлы и очищает системный реестр от активности троянских программ Trojan-Spy.Win32.Zbot.
Запуск утилиты ZbotKiller.exe можно производить непосредственно на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.
Локально:
- Скачайте архив ZBotKiller_v2.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине.
- Запустите файл ZbotKiller.exe.
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту ZbotKiller.exe с ключом -y.
- Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.
Источник : http://www.kaspersky.ru
Всем, кто когда либо играл в LineAge II будет интересна данная статья.
Началось все, как водится, с вводом новых хроник и нового клиента.
Клиент оффициальный и серый.
Каждому игроку всегда интересно чтобы было видно нансимый им, или по нему урон.
Далее будет подробный гайд или хауту — как раскрасить чат своими руками.
Итак что нам понадобится :
Поехали.
Шаг 1.
Скачиваем по ссылке выше набор утилит. Распаковываем в папку. В эту же папку кидаем файл с системками (ищите в директории (папке) system игры файл systemmsg-e.dat)
Сначала нам нужно декриптовать его. Выполняем (кто еще не в курсе как выполнить команды — Пуск — выполнить cmd — ok)
l2encdec -s systemmsg-e.dat
Читать запись полностью »
