[Pili]

lynxxx, Это может быть не конкретно сам kido, но принцип тот же, где-то в сети есть зараженная система, на которой есть червь, который производит сканирование портов и если система не патченная или не защищена файрволом, то может произойти заражение.

Цитата lynxxx:

Как обезопасить себя от подобного рода атак? »

В данном случае KIS блокирует вредоносный траффик.

Цитата lynxxx:

КИС 8 оповестил о сетевой атаке: Intrusion.Generic.TCP.Flags.Bad.Combine.attack 91.195.249.190 После чего заблокировал атаку. »

Цитата lynxxx:

тут было обнаружено 18 открытых портов »

Цитата lynxxx:

Как прикрыть порты (если это требуется)? »

А какие правила задали для входящих пакетов? Включен ли windows firewall?
Для закрытия dcom, rpc и netbios рекомендую дополнительно воспользоваться утилитой wwdc, описание здесь
По поводу порта 1433, если у вас не установлен SQL, то беспокоится не стоит.

[lynxxx]

Цитата:

А какие правила задали для входящих пакетов? Включен ли windows firewall? Для закрытия dcom, rpc и netbios рекомендую дополнительно воспользоваться утилитой wwdc, описание здесь По поводу порта 1433, если у вас не установлен SQL, то беспокоится не стоит.

нужно ли что-то поменять?

читать дальше »

windows firewall включен и "дезинфекцию" wwdc сделал
Проверил пк dr.web обнаружил: "возможно, BATCH.Virus" находится в папке System Volume Information, попытался зайти в неё и вытащить для проверки 2 бат файла, но не вышло, с помощью тотал командера тоже (даже после запроса входа под администратором и введения пароля).

[Pili]

Если windows firewall включен, по умолчанию он должен блокировать входящие запросы

Цитата lynxxx:

нужно ли что-то поменять? »

На скриншоте не видно какие разрешающие правила для входящих и исходящих пакетов определены для локальных сетей и какие локальные сети внесены в доверенную зону.
Пример, если у вас web сервер
allow tcp from any 1024-65535 to me 80
allow tcp from me 80 to any 1024-65535
Разрешены исходящие со своего ip адреса, порта 80 на любые ip адреса и входящие на свой ip 80 порт с любого ip адреса и диапазона портов 1024-65535, это пример для wipfw, но подобные правила для входящих можно задать в windows wirewall и любом другом файеровле.

Цитата lynxxx:

находится в папке System Volume Information »

Просто отключите и включите снова восстановление системы или очистите предыдущие точки восстановления.

[lynxxx]

Цитата:

Просто отключите и включите снова восстановление системы или очистите предыдущие точки восстановления.

отключил восстановление системы, но зайти туда не смог всё-равно, нашел статью по открытию доступа и пытался следовать инструкции, но напартачил:

читать дальше »

удалил случайно группу пользователей "ВСЕ" это серьезно для системы?
и ещё раз при попытке зайти туда тотало командером выдает: "программа не запускается"

[Pili]

Цитата lynxxx:

отключил восстановление системы, но зайти туда не смог всё-равно »

Отключив восстановление вы не получаете доступ в папку System Volume Information, вы удаляете файлы, находящиеся в этой папке, для чего вам туда доступ? Если хотите, просто дайте себе права на эту папку, система получает доступ в эту папку от имени system

[lynxxx]

Цитата:

для чего вам туда доступ?

что бы проверить два .bat файла
от имени system не получилось, по этому сделал очистку диска восстановление системы

Цитата:

По поводу порта 1433, если у вас не установлен SQL, то беспокоится не стоит.

на этот порт постоянно идут атаки, счетчик APS за минуту 33 зафиксировал, не очень приятно, что лучше всего с ним сделать? Или как поставить на него блок кис'ом?
Вопрос не по теме: На ПК (ОС xp2) удалены значки (как выяснилось полсе удаления какого-то зловреда) моего компьютера, моих док, проигрывателя и т.д. вместо них отображается обычные виндосовские значки, но при этом зайти/запустить эти файлы можно.
Подскажите пожалуйста, что сделать, что б опять вернуть картинки программ, приложений и т.д.?
за значки отвечает shell32.dll версия 6.00.2900.3241 (xpsp_sp2_gdr.071025-1248)
На вирусы пк проверяли - ничего не обнаружино

[Pili]

Цитата lynxxx:

что бы проверить два .bat файла »

Их там уже нет, если очистили предыдущие точки восстановления, если хотите получить доступ к папке восстановления

Цитата Pili:

просто дайте себе права на эту папку »

Цитата lynxxx:

на этот порт постоянно идут атаки, счетчик APS за минуту 33 зафиксировал, не очень приятно, что лучше всего с ним сделать? »

SQL server есть? По поводу "не очень приятно" - APS это своего рода IDS или вы фиксируете атаки, анализируете их, принимаете решение, составляете отчеты и т.д, в качестве такого IDS лучше использовать SNORT или другие специализированные IDS, или вы настраиваете любой firewall, который будет просто блокировать эти атаки (с ведением логи или без, это как вам захочется), возможны совмещенные решения IDS и firewall.

Цитата lynxxx:

удалены значки »

Tweak UI-> Repair -> Rebuild Icons -> Repair Now, см. здесь
Воспользуйтесь также поиском по форуму. Если вы ставили "украшательства" типа vistaicon, рекомендую удалить.

[lynxxx]

Цитата:

SQL server есть?

нет

Цитата:

лучше использовать SNORT или другие специализированные IDS

эта программа для более опытных пользователей чем я. Могли бы Вы посоветовать ещё какую-нибудь программу?

Цитата:

Tweak UI-> Repair -> Rebuild Icons -> Repair Now, см. здесь Воспользуйтесь также поиском по форуму. Если вы ставили "украшательства" типа vistaicon, рекомендую удалить.

Спасибо! Помогло

[Pili]

Если SQL нет, то по какому поводу беспокойство?

Цитата lynxxx:

Могли бы Вы посоветовать ещё какую-нибудь программу? »

Для каких целей? В таком случае почему вам windows firewall, KIS, Outpost, Comodo и пр. не подходят?

Цитата Pili:

или вы настраиваете любой firewall, который будет просто блокировать эти атаки (с ведением логи или без, это как вам захочется) »

FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы