Троян?

[Teddybear]

Заметил, что модем проявляет какую-то активность, хотя, в браузере открыт только БВФ. Проверил netstat - ом. Результат на картинке - масса левых подключений к каким-то почтовым серверам.. Похоже, троян работает. Проверка NOD32 ничего не дала.

[=Дмитрий=]

где картинка ?

[Teddybear]

Забыл прицепить Вот

[gene]

это не почтовые сервера
это значит, что мануал к модему ты не читал.

[Teddybear]

gene,
mail.frontbridge.com
mailin.rzone.de:smtp
mail13.telaurus.net:smtp
mail.hotmail.com:smtp
mail.uk2.net
ey-in-f114.google.com:smtp
Это тогда что?
ЗЫ. Кстати, NOD32 в безопасном режиме таки изловил пару троянов.

[Xenon]

Цитата:

Сообщение от gene

это не почтовые сервера
это значит, что мануал к модему ты не читал

Можно поподробнее, зачем данные сайты нужны для модема:

Цитата:

Сообщение от Teddybear

mail.frontbridge.com
mailin.rzone.de:smtp
mail13.telaurus.net:smtp
mail.hotmail.com:smtp
mail.uk2.net
ey-in-f114.google.com:smtp

[Lazy_lemial]

Да даже и не нужно про сайты, пусть обьяснит что ещё по 25 порту ходит (smtp в логе). Ну и вдобавок хотелось бы узнать, какое отношение виндовый netstat имеет к мануалу модема.

Teddybear
NOD во-первых отстой в целом, а во-вторых плохо справляется с активными заражениями. То есть если комп заражён и при это вирь злобен, то есть пытается замаскироваться от антивирей, или вообще пытается заломать антивири, то NOD вам не помощник.

Предлагаю следующее, качаете лайвсиди от доктора веба http://www.freedrweb.com/livecd?lng=ru (желательно на чистом компе, но не обязательно), режете на болвань, грузитесь с неё, запускаете проверку и ложитесь спать.
Самый оптимальный способ лечения в наше непростое время сцука грамотных вирмейкеров.
Славные времена I Love You писаных на Васике отошли в прошлое.

[Lazy_lemial]

А также всем рекомендую две программы. Ieshua Live CD и c't Offline update.
Ieshua Live CD (700 мегабайт) офстраница, скачать на торрентс.ру, скачать на депозитфайлс

Цитата:

ОПИСАНИЕ:
Диск представляет собой урезанную версию Windows 2003 SP1, которая загружается с CD.
Основное назначение диска - проверка системы на вирусы, работа с файловой системой NTFS, изменение разделов диска, восстановление данных, восстановление или изменение паролей доступа к ОС Windows 2000/XP/2003, резервное копирование данных, сохранение данных по сети с незагружающихся систем и т.п.

Основной плюс данной сборки в том, что это практически полноценная винда. В ней вы можете настроить локальную сеть, доступ в интернет, можете запускать программы с флэшки, внешних дисков, дисков хост системы, смотреть фильмы, слушать музыку итп. На ней даже Counter Strike запускали.
То есть вы не ограничены в средствах восстановления компьютера, вместо встроенной программы проверки диска, встроенного антивируса, дефрагментатора итп. вы можете использовать свою любимую программу.


c't Offline update (1 мегабайт) скачать
Программа предназначенная для скачивания и сохранения обновлений различных версий Windows и Microsoft Office. После скачивания формируется скрипт установки. В дальнейшем вам достаточно даблкликнуть по программе-установщику обновлений, выбрать нужные параметры и все скачаные обновления будут установлены в нужной последовательности.
Пригодится системным администраторам одноранговых сетей и тем, кто не желает после переустановки системы каждый раз тащить мегатонны обновлений.

[][irurg]

Teddybear, предложу использовать ключи netstat -ano. увидете PID процессов mailware. затем ищете их в диспетчере задач - находите заразу.
а вообще использование фаерволлов на компе черезвычайно полезно.

ЗЫ после лечения не забудьте сменить все пароли - они уже наверняка у кого то есть

[Lazy_lemial]

][irurg
Идея правильная, но в настоящее время малоэффективная.
Ну выдаст netstat -ano инфу о том, что процесс System, или svchost троянит и что?

[LuCiFer]

ах, вот кто спам рассылает....

з.ы. нод часто пропускает, лично я уже несколько лет, пользуюсь только им, т.к. он по крайне мере не тормозит вообще, а про 90% вирусни хоть предупреждает. а рыскать вирусню антивирусами я считаю малопрофесионально ))) в ручную по всей автозагрузке, сервисам, драйверам, и смотреть нет ли левых длл-ок подгруженных к процессам. Как ни странно такой метод у меня занимает времени как правило минут 5-20, смотря на сколько злобен вирусок, засевший в системе, это гораздо быстрее, че даже искать уже имеющуюся болвкану и грузить с нее ОС, а потом еще пока антивирусник пройдет по ней.....

[Lazy_lemial]

LuCiFer
Знаете, ну совершеннейшая чушь.
Есть Avira Antivir который не пропускает и не тормозит комп, есть Avast который не тормозит и не пропускает и, самое главное, они бесплатны для домашнего использования.
Но огромное количество людей продолжает пользоваться НОДом только на основании того, что он "не тормозит", а затем вылавливают вирусы с помощью GMERa, AVZ, Hijackthis итп.
---
Может стоит сделать над собой усилие, заслать ломаный НОД в биореактор и поставить нормальный бесплатный антивирус?
А насчёт загрузки с лайвсиди и вашего метода могу заметить, что ваш метод проигрывает, поскольку вы знаете (или считаете что знаете) какие дллки, процессы итп. валидны, а вот другие не знают.
Посему загрузка с лайвсиди и запуск CureIT более удобен и надёжен.

[LuCiFer]

Lazy_lemial, за дурака меня держишь? а ты вирусню писал? а ты её дазасемблировал? ты ядро винды под отладчиком лазел? хотя б что такое int 2Eh и sysenter знаешь? а я да..... подозреваю, что ты тупо начитался кучи статей

[Lazy_lemial]

LuCiFer
Это ты к чему, отец вирусни? Ты предлагаешь всем знать как в ядро винды софтайсом лазить, чтобы вирус выбить? Успакойся. Это никому не нужно.

Я предлагаю простой и верный способ, ты кичишься умением замочить вирус руками.
Я, знаешь ли, тоже могу его руками замочить, только это мне наклеп не нужно.

[builder]

Lazy_lemial, ща тебя обвинят в том что не в ВДВ служил. )))
ЗЫ: еще не видал антивируса, вообще не использующего ресурсов. Да, есть тихие и незаметные. Есть прожорливые и припухшие. Как бы то ни было, использовать сабж на машинах с 1С не в терминале и с некислой базой не получается. Юзеры замечают падение производительности (даже на 10%) и вопят, что резанные.

[][irurg]

Цитата:

Сообщение от Lazy_lemial

Идея правильная, но в настоящее время малоэффективная.
Ну выдаст netstat -ano инфу о том, что процесс System, или svchost троянит и что?

ну первый этап имхо должен быть такой - на предмет неумной заразы.
затем лезем по автозагрузкам сервисам как писал LuCiFer, длл-ки и драйверы не знаю как он предлагал визуально проверять, тем более на сильно загаженной софтом системе. а вот кривые сервисы и левые файлы qwejf57.exe сразу видны в автозагрузке.
если это не помогло - пошла тяжелая артилерия - GMERa, AVZ, Hijackthis, лайвСД.
имхо такая последовательность серьезено экономит силы и время админа
а еще больше экономит силы фаер и антивирь со свежими базами на компе

[Lazy_lemial]

Цитата:

Сообщение от ][irurg

ну первый этап имхо должен быть такой - на предмет неумной заразы.
затем лезем по автозагрузкам сервисам как писал LuCiFer, длл-ки и драйверы не знаю как он предлагал визуально проверять, тем более на сильно загаженной софтом системе. а вот кривые сервисы и левые файлы qwejf57.exe сразу видны в автозагрузке.
если это не помогло - пошла тяжелая артилерия - GMERa, AVZ, Hijackthis, лайвСД.
имхо такая последовательность серьезено экономит силы и время админа
а еще больше экономит силы фаер и антивирь со свежими базами на компе

Я бы и начал с AVZ, ибо он в себе содержит и netstat, и Process Explorer (помощней чем стандартный виндовый) и всякое прочее.
Сначала ставим AVZ драйвер, потом выбиваем Rootkit User и Kernel mode, потом можно запустить CureIT.
Можно и мозгом проанализировать отчёты AVZ, но это достаточно сложно даже на XP Home. А когда я увидел отчёт по 2003 серверу... Ну я не знаю, это мазохизмом отдаёт все данные анализировать.

[][irurg]

Цитата:

Сообщение от Lazy_lemial

Я бы и начал с AVZ, ибо он в себе содержит и netstat, и Process Explorer (помощней чем стандартный виндовый) и всякое прочее.

не жалеешь ты своего времени ) вот комп, на нем 1Тб винт. он нодом анализируется полдня. если брать предложенную линейку GMERa, AVZ, Hijackthis, лайвСД и на каждую по полдня, то полный анализ системы займет трое суток. да мне легче с систему закатить заново за полчаса с образа и зачас доставить нужных прог.
суть поста - не хвататься сразу за тяжеловесные "орудия" а начать со стандартного визуального осмотра системы. а дальше по ситуации

[Lazy_lemial]

Собственно AVZ это программа которая предоставляет данные для "мозгового штурма". Встроенный файловый сканер идёт довеском, зачастую, или даже вообще всегда ненужным.

То есть с её помощью можно получить больше данных для анализа, нежели чем от нетстата. Потому считаю использование нетстата приемлемым только в крайне ограниченных случаях.

Тот же hijackthis способен выявить проблемные места быстрее netstat'a.

[][irurg]

Lazy_lemial, взаимопонимание достигнуто )
хотя фразу о том что

Цитата:

Сообщение от Lazy_lemial

То есть с её помощью можно получить больше данных для анализа, нежели чем от нетстата.

все равно считаю сомнительной. нетстат с нужными ключами может предоставить всю ту же самую информацию, в авз просто все удобней скомпоновано. но авз может иногда под рукой не оказаться а нетстат есть всегда

[Lazy_lemial]

][irurg
Согласен.

Цитата:

все равно считаю сомнительной. нетстат с нужными ключами может предоставить всю ту же самую информацию, в авз просто все удобней скомпоновано. но авз может иногда под рукой не оказаться а нетстат есть всегда

Несогласен. Ващьпе.
Ну предоставьте сообществу ключи netstat'a, которые позволят увидеть заинжекченую вирусную библиотеку в поток эксплорера.
---
В общем понял вашу мысль. Запускаем netstat, смотрим коннекции по ненужным портам, а потом уже включаем мозг и прочие программы.
Предлагаю на этом сойтись.
Кстати, netstat -a -b более интересен.

[][irurg]

апд
____

Цитата:

Сообщение от Lazy_lemial

Предлагаю на этом сойтись.

ок ) тем более ТС потерял к нам интерес
но интерес к АВЗ вы во мне пробудили, раньше считал его средненьким вирусным сканером, а он оказывается не прост

[Teddybear]

Цитата:

Сообщение от ][irurg

тем более ТС потерял к нам интерес

Отнюдь.. Внимательно слежу за темой...
Все ж похоже, сканирование NOD-ом в безопасном режиме возымело результат.
Кстати, до нода стоял как раз AVZ. Я посчитал, что халявный антивирь не может быть хорошим, и снес его.
Нашелся и источник заразы - дочка сходила с флэшкой к подружке )
Lazy_lemial,
Не, мозговой штурм и удаление вирей руками - слишком сложно для меня.. Я -то в отличие от вас вирусы не писал..

[][irurg]

Teddybear, уже лучше. но непонятно что это за сервисы заворачивают на локалхост по разным портам. попробуй с ключом b выполнить

[Teddybear]

][irurg,
Вот, собссно

[][irurg]

Teddybear, ну ничего не вылечилось вирь маскируется под процесс с PID =0. Пришло время AVZ и лайвСД. кстати любопытно а файл hosts что содержит у вас? попробуйте еще nslookup localhost

кстати а попробуй останови НОД и сними еще раз картинку - уж больно порт знакомый 30606, не нодовский ли. smart security не стоит ?

[Lazy_lemial]

Цитата:

Сообщение от Teddybear

Отнюдь.. Внимательно слежу за темой...
Все ж похоже, сканирование NOD-ом в безопасном режиме возымело результат.
Кстати, до нода стоял как раз AVZ. Я посчитал, что халявный антивирь не может быть хорошим, и снес его.

Ребяты, вы чего? AVZ это НЕ антивирус и сроду им не был.

Цитата:

Lazy_lemial,
Не, мозговой штурм и удаление вирей руками - слишком сложно для меня.. Я -то в отличие от вас вирусы не писал..

Ну так и я не писал. Я их ловил "руками".

В общем повторно рекомендую скачать лайвсиди от Др. Веба, загрузиться с него и запустить проверку на вирусы. Если бы это было сделано вчера, то сегодн комп был бы уже чистый.

[Teddybear]

Ну что, скачал лайвсиди, просканировал. Кроме безобидного adware ничего не нашлось. Кстати, заметил. что на локалхост обращение идет только когда открыта Опера.

[Lazy_lemial]

Teddybear
Значит либо всё в порядке, либо систему жрёт новый вирь.
Как-то так.

[shuri]

Цитата:

Сообщение от Teddybear

Заметил, что модем проявляет какую-то активность, хотя, в браузере открыт только БВФ. Проверил netstat - ом. Результат на картинке - масса левых подключений к каким-то почтовым серверам.. Похоже, троян работает. Проверка NOD32 ничего не дала.

Эт когда интернет-активность есть. Обычная маскировка. Все остальное прочитал, посему рекомендации обычные стандартные методы:
1) загрузочный диск касперского - где скачать не знаю, я свой каждый день формирую самостоятельно из программы (если надо, то вышлю на ящик, хотя, судя по вашей ситуации он не нужен
2) загрузка в безопасном режиме и запуск с вашего dvd привода этих утилит
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
3)Ad-Ware 6 с копейками (семерка дерьмо).Обновления здесь - http://download.lavasoft.com/public/defs.zip
7) Spy-Bot (сам может обновляться, если заставить)
8) потом запускаем avz и смотрим :-)