Intrusion.Generic.TCP.Flags.Bad.Combine.attack
 

КИС 8 оповестил о сетевой атаке: Intrusion.Generic.TCP.Flags.Bad.Combine.attack 91.195.249.190
После чего заблокировал атаку.
Один хороший специалист написал, что это червь kido и если заплатки установлены и пароль админа сложный, то можно не беспокоится.
Установил заплатки MS08-067 MS08-068 MS09-001
Потом проверил пк здесь: http://2ip.ru/portscan.php тут было обнаружено 18 открытых портов, в то время как у моего товарища ни одного, всё таки угнетающая статистика как-никак, разница только в том, что у него Vista и кис7, а у меня xp2 и кис8... :dont-know
На данный момент, APS оповестила:

Как обезопасить себя от подобного рода атак? Как прикрыть порты (если это требуется)?

lynxxx, Это может быть не конкретно сам kido, но принцип тот же, где-то в сети есть зараженная система, на которой есть червь, который производит сканирование портов и если система не патченная или не защищена файрволом, то может произойти заражение.
В данном случае KIS блокирует вредоносный траффик.
А какие правила задали для входящих пакетов? Включен ли windows firewall?
Для закрытия dcom, rpc и netbios рекомендую дополнительно воспользоваться утилитой wwdc, описание здесь
По поводу порта 1433, если у вас не установлен SQL, то беспокоится не стоит.

нужно ли что-то поменять?

windows firewall включен и "дезинфекцию" wwdc сделал
Проверил пк dr.web обнаружил: "возможно, BATCH.Virus" находится в папке System Volume Information, попытался зайти в неё и вытащить для проверки 2 бат файла, но не вышло, с помощью тотал командера тоже (даже после запроса входа под администратором и введения пароля).

Если windows firewall включен, по умолчанию он должен блокировать входящие запросы
На скриншоте не видно какие разрешающие правила для входящих и исходящих пакетов определены для локальных сетей и какие локальные сети внесены в доверенную зону.
Пример, если у вас web сервер
allow tcp from any 1024-65535 to me 80
allow tcp from me 80 to any 1024-65535
Разрешены исходящие со своего ip адреса, порта 80 на любые ip адреса и входящие на свой ip 80 порт с любого ip адреса и диапазона портов 1024-65535, это пример для wipfw, но подобные правила для входящих можно задать в windows wirewall и любом другом файеровле.
Просто отключите и включите снова восстановление системы или очистите предыдущие точки восстановления.

отключил восстановление системы, но зайти туда не смог всё-равно, нашел статью по открытию доступа и пытался следовать инструкции, но напартачил:
удалил случайно группу пользователей "ВСЕ" :tomato2: это серьезно для системы?
и ещё раз при попытке зайти туда тотало командером выдает: "программа не запускается"

Отключив восстановление вы не получаете доступ в папку System Volume Information, вы удаляете файлы, находящиеся в этой папке, для чего вам туда доступ? Если хотите, просто дайте себе права на эту папку, система получает доступ в эту папку от имени system

что бы проверить два .bat файла
от имени system не получилось, по этому сделал очистку диска восстановление системы
на этот порт постоянно идут атаки, счетчик APS за минуту 33 зафиксировал, не очень приятно, что лучше всего с ним сделать? Или как поставить на него блок кис'ом?
:off: Вопрос не по теме: На ПК (ОС xp2) удалены значки (как выяснилось полсе удаления какого-то зловреда) моего компьютера, моих док, проигрывателя и т.д. вместо них отображается обычные виндосовские значки, но при этом зайти/запустить эти файлы можно.
Подскажите пожалуйста, что сделать, что б опять вернуть картинки программ, приложений и т.д.?
за значки отвечает shell32.dll версия 6.00.2900.3241 (xpsp_sp2_gdr.071025-1248)
На вирусы пк проверяли - ничего не обнаружино

Их там уже нет, если очистили предыдущие точки восстановления, если хотите получить доступ к папке восстановленияSQL server есть? По поводу "не очень приятно" - APS это своего рода IDS или вы фиксируете атаки, анализируете их, принимаете решение, составляете отчеты и т.д, в качестве такого IDS лучше использовать SNORT или другие специализированные IDS, или вы настраиваете любой firewall, который будет просто блокировать эти атаки (с ведением логи или без, это как вам захочется), возможны совмещенные решения IDS и firewall.
Tweak UI-> Repair -> Rebuild Icons -> Repair Now, см. здесь
Воспользуйтесь также поиском по форуму. Если вы ставили "украшательства" типа vistaicon, рекомендую удалить.

нет
эта программа для более опытных пользователей чем я. Могли бы Вы посоветовать ещё какую-нибудь программу?
Спасибо! Помогло

Если SQL нет, то по какому поводу беспокойство?
Для каких целей? В таком случае почему вам windows firewall, KIS, Outpost, Comodo и пр. не подходят?
FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы

lynxxx, советую проверить пароль админа здесь
http://www.viruslist.com/ru/viruses/...rusid=21782725
http://www.viruslist.com/ru/viruses/...rusid=21782733

КАК проверить установлены ли патчи MS08-067 MS08-068 MS09-001?

относительно открытых портов, решил проблему следующим образом:
просканил свои порты http://2ip.ru/portscan.php и открытые (особенно 1433 :moil: ) с помощью КИС 8 закрыл
Спасибо Pili за то, что натолкнул на свежие идеи :up

Зайти на http://windowsupdate.microsoft.com