В сети появилась зараженная вирусом машина. По всем расшаренным папкам в сети разбрасывает файлы sokmqk.exe и скрытый файл kht. Удаление файлов не помогает, вирус снова их заливает.

Если в сети доменная организация, то самый простой способ обнаружить от кого лезет дрянь. Посмотреть в свойствах файла его владельца, во вкладке безопасность. Я сразу выпалил зараженного юзера, почикал там вирус и блуждания по локальной сети прекратилось.

Если же сеть построена на рабочей группе, прийдется расшарить у себя пару папок, и поставить монитор пищуший сетевые обращения к файлам. И ткм выпалить с какого IP или Хоста лезет вирусня.

Недавно один из юзеров поймал одну из разновидностей вируса, под названием Win32.HLLW.Autohit. Вирус скромный, лезет по всей локальной сети, сканит ресурсы с правом записи в них и создаёт там EXE файл и скрытые файлы нулевого размера с именами kht, khs и khw. Сам EXEшник был успешно отправлен антивирусниками и через несколько часов начал детектироваться. Сетку я вычистил. Но файлы kht, khs и khw не определялись как вирус и оставались сидеть в расшаренных папках. Меня жутко заинтересовало зачем эти файлы нужны.

Как оказалось создаёт их вирус Win32.HLLW.Autohit. Цель создания — пометить зараженную папку, чтобы повторно не писать файл и не пугать обновленные антивирусы. Похоже они что-то вроде маячков для csrcs.exe (Win32.HLLW.Autohit), показывают зараженность компьютера.

Если поудалять EXE вирусы, а маячки оставить, то вирус не запишется в папку. Но лучше найти с чьей машины лезет дрянь и почистить её.

Обнаружил у нескольких пользователей процесс CNAB4RPK.exe. Заинтересовало, что это такое. Поиском нашел размещение— WINDOWS\System32. В свойствах и каментах мало информации, но в конце концов выяснил что это такое.

Процесс CNAB4RPK.exe (Canon Advanced Printing Technology RPC Server) является частью драйвера для принтера Canon LBP2900 (Canon Advanced Printing Technology) от фирмы CANON INC (www.canon.com).

Размещение: C:\WINDOWS\System32\CNAB4RPK.EXE

У меня частенько случалась такая ситуация, что на работе какой-нибудь эфиоп притаскивал вирус, который не определяется антивирусами. В этом случае, вместо того, чтобы лечить 30 машин можно отправить вирьё антивирусникам. Пусть они добавят его в базы и утром вся сетка почистится.

Вот адреса, куда нужно отправлять. Проверены все.

newvirus@kaspersky.com
support@esetnod32.ru
newvirus@drweb.ru

Если у вас в диспетчере задач появился файл csrcs.exe. Вам не повезло. Вероятнее всего это вирус.

Нажмите Ctrl-Alt-Delete, выберите вкладку процессы, чтобы посмотреть, какие процессы у вас запущены. И если вы видите, что под вашим логином запущен процесс csrcs.exe, знайте, ваш компьютер заражён. Но учтите, что есть такой системный процесс как csrss.exe, (он запущен от имени системы, разница только в одной букве, присмотритесь внимательнее csrCs.exe — это вирус, scrSs — это системный процесс). Кликните правой кнопкой мыши на процессе csrcs.exe и в появившемся меню выберите "Завершить процесс".

Дальше, больше...

Программа для перехвата управления маршрутизаторами D-Link.

Компания D-Link признала информацию об уязвимости в домашних маршрутизаторах DIR-855 (версия прошивки A2), DIR-655 (версии от A1 до A4) и DIR-635 (версия B).

Проблема заключается в некорректной реализации протокола Home Network Administration Protocol (HNAP), с помощью которого осуществляется удалённое управление. В сети уже выложена программа HNAP0wn, с помощью которой можно перехватить удалённое управление маршрутизатором с такой уязвимостью.

Дыру обнаружили эксперты из независимой компании SourceSec. По информации SourceSec, кроме указанных моделей, под подозрением находятся все маршрутизаторы, которые выпускались D-Link с 2006 года. Однако, согласно комментарию производителя, ни одна из вышеперечисленных прошивок не является стандартной и никогда не поставлялась с новыми маршрутизаторами, так что опасность существует только для тех пользователей, которые самостоятельно выполняли перепрошивку.

Если у вас сомнения относительно своего маршрутизатора, можно использовать программу HNAP0wn для проверки.

Как убрать рамку вокруг изображений-ссылок?

огда рисунок помещается внутрь контейнера <A>, то он становится ссылкой и вокруг него автоматически добавляется тонкая цветная рамка. Можно убрать её добавив к тегу <IMG> параметр BORDER равный нулю. Выглядеть это будет так.

<img src="sample.gif" border="0">

Чтобы от нее избавиться по всей странице или сайту, добавьте параметр border со значением none к селектору IMG.Сделать это можно через CSS. И все картинки-изображения больше не будут отображаться с рамкой. На всех страницах, использующих этот файл CSS рамки пропадут.

a img {border: none; }