Если это ваш первый визит, рекомендуем почитать справку по форуму. Для размещения своих сообщений необходимо зарегистрироваться. Для просмотра сообщений выберите раздел. |
Троян? |
Обсуждение всего, что связано с интернет, а также сетевого оборудования и сетевых технологий от офисных сетей до домашних. |
|
|
Опции темы |
25.03.2009, 22:10 | #1 |
*** **й**
|
Троян?
Заметил, что модем проявляет какую-то активность, хотя, в браузере открыт только БВФ. Проверил netstat - ом. Результат на картинке - масса левых подключений к каким-то почтовым серверам.. Похоже, троян работает. Проверка NOD32 ничего не дала.
|
26.03.2009, 06:19 | #5 |
*** **й**
|
gene,
mail.frontbridge.com mailin.rzone.de:smtp mail13.telaurus.net:smtp mail.hotmail.com:smtp mail.uk2.net ey-in-f114.google.com:smtp Это тогда что? ЗЫ. Кстати, NOD32 в безопасном режиме таки изловил пару троянов. |
26.03.2009, 07:51 | #6 |
Форумец
|
Можно поподробнее, зачем данные сайты нужны для модема:
|
27.03.2009, 07:51 | #7 |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
Да даже и не нужно про сайты, пусть обьяснит что ещё по 25 порту ходит (smtp в логе). Ну и вдобавок хотелось бы узнать, какое отношение виндовый netstat имеет к мануалу модема.
Teddybear NOD во-первых отстой в целом, а во-вторых плохо справляется с активными заражениями. То есть если комп заражён и при это вирь злобен, то есть пытается замаскироваться от антивирей, или вообще пытается заломать антивири, то NOD вам не помощник. Предлагаю следующее, качаете лайвсиди от доктора веба http://www.freedrweb.com/livecd?lng=ru (желательно на чистом компе, но не обязательно), режете на болвань, грузитесь с неё, запускаете проверку и ложитесь спать. Самый оптимальный способ лечения в наше непростое время сцука грамотных вирмейкеров. Славные времена I Love You писаных на Васике отошли в прошлое. |
27.03.2009, 08:43 | #8 | |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
А также всем рекомендую две программы. Ieshua Live CD и c't Offline update.
Ieshua Live CD (700 мегабайт) офстраница, скачать на торрентс.ру, скачать на депозитфайлс Цитата:
То есть вы не ограничены в средствах восстановления компьютера, вместо встроенной программы проверки диска, встроенного антивируса, дефрагментатора итп. вы можете использовать свою любимую программу. c't Offline update (1 мегабайт) скачать Программа предназначенная для скачивания и сохранения обновлений различных версий Windows и Microsoft Office. После скачивания формируется скрипт установки. В дальнейшем вам достаточно даблкликнуть по программе-установщику обновлений, выбрать нужные параметры и все скачаные обновления будут установлены в нужной последовательности. Пригодится системным администраторам одноранговых сетей и тем, кто не желает после переустановки системы каждый раз тащить мегатонны обновлений. |
|
27.03.2009, 08:50 | #9 |
Форумец
|
Teddybear, предложу использовать ключи netstat -ano. увидете PID процессов mailware. затем ищете их в диспетчере задач - находите заразу.
а вообще использование фаерволлов на компе черезвычайно полезно. ЗЫ после лечения не забудьте сменить все пароли - они уже наверняка у кого то есть |
27.03.2009, 10:00 | #10 |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
][irurg
Идея правильная, но в настоящее время малоэффективная. Ну выдаст netstat -ano инфу о том, что процесс System, или svchost троянит и что? |
27.03.2009, 10:47 | #11 |
Владыка Ада
Сообщений: 1,156
Регистрация: 03.10.2003
Не в сети |
ах, вот кто спам рассылает....
з.ы. нод часто пропускает, лично я уже несколько лет, пользуюсь только им, т.к. он по крайне мере не тормозит вообще, а про 90% вирусни хоть предупреждает. а рыскать вирусню антивирусами я считаю малопрофесионально ))) в ручную по всей автозагрузке, сервисам, драйверам, и смотреть нет ли левых длл-ок подгруженных к процессам. Как ни странно такой метод у меня занимает времени как правило минут 5-20, смотря на сколько злобен вирусок, засевший в системе, это гораздо быстрее, че даже искать уже имеющуюся болвкану и грузить с нее ОС, а потом еще пока антивирусник пройдет по ней..... |
27.03.2009, 11:10 | #12 |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
LuCiFer
Знаете, ну совершеннейшая чушь. Есть Avira Antivir который не пропускает и не тормозит комп, есть Avast который не тормозит и не пропускает и, самое главное, они бесплатны для домашнего использования. Но огромное количество людей продолжает пользоваться НОДом только на основании того, что он "не тормозит", а затем вылавливают вирусы с помощью GMERa, AVZ, Hijackthis итп. --- Может стоит сделать над собой усилие, заслать ломаный НОД в биореактор и поставить нормальный бесплатный антивирус? А насчёт загрузки с лайвсиди и вашего метода могу заметить, что ваш метод проигрывает, поскольку вы знаете (или считаете что знаете) какие дллки, процессы итп. валидны, а вот другие не знают. Посему загрузка с лайвсиди и запуск CureIT более удобен и надёжен. |
27.03.2009, 11:21 | #13 |
Владыка Ада
Сообщений: 1,156
Регистрация: 03.10.2003
Не в сети |
Lazy_lemial, за дурака меня держишь? а ты вирусню писал? а ты её дазасемблировал? ты ядро винды под отладчиком лазел? хотя б что такое int 2Eh и sysenter знаешь? а я да..... подозреваю, что ты тупо начитался кучи статей
|
27.03.2009, 11:33 | #14 |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
LuCiFer
Это ты к чему, отец вирусни? Ты предлагаешь всем знать как в ядро винды софтайсом лазить, чтобы вирус выбить? Успакойся. Это никому не нужно. Я предлагаю простой и верный способ, ты кичишься умением замочить вирус руками. Я, знаешь ли, тоже могу его руками замочить, только это мне наклеп не нужно. |
27.03.2009, 11:33 | #15 |
бабай
Сообщений: 7,004
Регистрация: 29.07.2004
Возраст: 45
Не в сети |
Lazy_lemial, ща тебя обвинят в том что не в ВДВ служил. )))
ЗЫ: еще не видал антивируса, вообще не использующего ресурсов. Да, есть тихие и незаметные. Есть прожорливые и припухшие. Как бы то ни было, использовать сабж на машинах с 1С не в терминале и с некислой базой не получается. Юзеры замечают падение производительности (даже на 10%) и вопят, что резанные. |
27.03.2009, 11:45 | #16 | |
Форумец
|
Цитата:
затем лезем по автозагрузкам сервисам как писал LuCiFer, длл-ки и драйверы не знаю как он предлагал визуально проверять, тем более на сильно загаженной софтом системе. а вот кривые сервисы и левые файлы qwejf57.exe сразу видны в автозагрузке. если это не помогло - пошла тяжелая артилерия - GMERa, AVZ, Hijackthis, лайвСД. имхо такая последовательность серьезено экономит силы и время админа а еще больше экономит силы фаер и антивирь со свежими базами на компе |
|
27.03.2009, 11:52 | #17 | |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
Цитата:
Сначала ставим AVZ драйвер, потом выбиваем Rootkit User и Kernel mode, потом можно запустить CureIT. Можно и мозгом проанализировать отчёты AVZ, но это достаточно сложно даже на XP Home. А когда я увидел отчёт по 2003 серверу... Ну я не знаю, это мазохизмом отдаёт все данные анализировать. |
|
27.03.2009, 12:07 | #18 | |
Форумец
|
Цитата:
суть поста - не хвататься сразу за тяжеловесные "орудия" а начать со стандартного визуального осмотра системы. а дальше по ситуации |
|
27.03.2009, 12:15 | #19 |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
Собственно AVZ это программа которая предоставляет данные для "мозгового штурма". Встроенный файловый сканер идёт довеском, зачастую, или даже вообще всегда ненужным.
То есть с её помощью можно получить больше данных для анализа, нежели чем от нетстата. Потому считаю использование нетстата приемлемым только в крайне ограниченных случаях. Тот же hijackthis способен выявить проблемные места быстрее netstat'a. |
27.03.2009, 12:20 | #20 |
Форумец
|
Lazy_lemial, взаимопонимание достигнуто )
хотя фразу о том что все равно считаю сомнительной. нетстат с нужными ключами может предоставить всю ту же самую информацию, в авз просто все удобней скомпоновано. но авз может иногда под рукой не оказаться а нетстат есть всегда Последний раз редактировалось ][irurg; 27.03.2009 в 12:35. |
27.03.2009, 12:47 | #21 | |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
][irurg
Согласен. Цитата:
Ну предоставьте сообществу ключи netstat'a, которые позволят увидеть заинжекченую вирусную библиотеку в поток эксплорера. --- В общем понял вашу мысль. Запускаем netstat, смотрим коннекции по ненужным портам, а потом уже включаем мозг и прочие программы. Предлагаю на этом сойтись. Кстати, netstat -a -b более интересен. Последний раз редактировалось Lazy_lemial; 27.03.2009 в 12:58. |
|
27.03.2009, 13:01 | #22 |
Форумец
|
|
27.03.2009, 20:22 | #23 |
*** **й**
|
Отнюдь.. Внимательно слежу за темой...
Все ж похоже, сканирование NOD-ом в безопасном режиме возымело результат. Кстати, до нода стоял как раз AVZ. Я посчитал, что халявный антивирь не может быть хорошим, и снес его. Нашелся и источник заразы - дочка сходила с флэшкой к подружке ) Lazy_lemial, Не, мозговой штурм и удаление вирей руками - слишком сложно для меня.. Я -то в отличие от вас вирусы не писал.. |
28.03.2009, 00:49 | #26 |
Форумец
|
Teddybear, ну ничего не вылечилось вирь маскируется под процесс с PID =0. Пришло время AVZ и лайвСД. кстати любопытно а файл hosts что содержит у вас? попробуйте еще nslookup localhost
кстати а попробуй останови НОД и сними еще раз картинку - уж больно порт знакомый 30606, не нодовский ли. smart security не стоит ? Последний раз редактировалось ][irurg; 28.03.2009 в 01:13. |
28.03.2009, 06:12 | #27 | ||
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
Цитата:
Цитата:
В общем повторно рекомендую скачать лайвсиди от Др. Веба, загрузиться с него и запустить проверку на вирусы. Если бы это было сделано вчера, то сегодн комп был бы уже чистый. |
||
30.03.2009, 17:42 | #29 |
Форумец
Сообщений: 1,935
Регистрация: 23.06.2005
Возраст: 25
Не в сети |
Teddybear
Значит либо всё в порядке, либо систему жрёт новый вирь. Как-то так. |
30.03.2009, 21:51 | #30 | |
Форумец
Сообщений: 2,376
Регистрация: 14.02.2004
Не в сети |
Цитата:
1) загрузочный диск касперского - где скачать не знаю, я свой каждый день формирую самостоятельно из программы (если надо, то вышлю на ящик, хотя, судя по вашей ситуации он не нужен 2) загрузка в безопасном режиме и запуск с вашего dvd привода этих утилит ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe 3)Ad-Ware 6 с копейками (семерка дерьмо).Обновления здесь - http://download.lavasoft.com/public/defs.zip 7) Spy-Bot (сам может обновляться, если заставить) 8) потом запускаем avz и смотрим :-) |
|