|
Кирилчег
|
 |
« : 18 Май 2008, 14:10:01 » |
|
Это началось сегодня. Комп, при входе в нет, начинает что-то качать. Все автообновления выключены, а он, гад, по 25 метров в час тащит, а отдает вообще по 60 (в час!).
Что это за хрень? Вирус? И как проверить, откуда происходит закачка? Может есть спец программка?
|
|
|
|
|
Записан
|
|
|
|
|
Highlander
|
Скорей всего троян сделал из твоего компа спам-бота.
|
|
|
|
|
Записан
|
Не бойтесь браться за незнакомое дело. И помните: ковчег построил любитель, профессионалы строили "Титаник".
Когда Ганди продвигал свою философию ненасилия он видимо не знал насколько же круто убивать всех вокруг.
|
|
|
|
Lukasenko
|
Это началось сегодня. Комп, при входе в нет, начинает что-то качать. Все автообновления выключены, а он, гад, по 25 метров в час тащит, а отдает вообще по 60 (в час!).
Что это за хрень? Вирус? И как проверить, откуда происходит закачка? Может есть спец программка? пццц......сочувствую чел......100 пудова вирус какой-нить! неси в мастерскую!!!! |
|
|
|
|
Записан
|
|
|
|
|
Highlander
|
Ну фаерволл это потом, сначала избавиться надо от заразы. У меня для поиска троянов стоит XoftSpySE, вроде не возникало проблем с троянами пока что.
|
|
|
|
|
Записан
|
Не бойтесь браться за незнакомое дело. И помните: ковчег построил любитель, профессионалы строили "Титаник".
Когда Ганди продвигал свою философию ненасилия он видимо не знал насколько же круто убивать всех вокруг.
|
|
|
Seam
Гость
|
prover svoi komp na nalichie Trojana Downloadera i Trojana Remora. Protestirui tut Сетевые соединения и Firewall: Obrati vnimanie imenno zdes mojet bit prichina, Test na Сетевые соединения: http://2ip.ru/netmonitor.php |
|
|
|
|
Записан
|
|
|
|
Xakram
Гродненец
 Репутация: +16/-10
 Offline
Пол: 
Сообщений: 237
|
У тебя обычный можем ( ну на модеме не возможно )
Или сеть ? какой провайдер ?
|
|
|
|
|
Записан
|
|
|
|
|
MаstеЯ
|
Да.. поставь Касперского ИС и проверь весь комп... делов то..
|
|
|
|
|
Записан
|
|
|
|
|
_SworD_
|
Ну фаерволл это потом, сначала избавиться надо от заразы. У меня для поиска троянов стоит XoftSpySE, вроде не возникало проблем с троянами пока что. Вот именно, что фаервол не потом, а чем быстрее, тем лучше. По крайней мере будет спрашивать о исходящих конектах (если они не в доверенной зоне). Удачи те !!! |
|
|
|
|
Записан
|
|
|
|
|
StatsMe
|
Мда.... наговорили тут вы..... У мну был такой...... Каспер сие чудо не сканит вообще, другие антивирусники молчат.... поправочка..... каспер только успел что то заикнуться по поводу что ваш комп заделался под спамбота..... При этом..... саздаются ТМПшники, сразу на томе где находится винда, далее хуже, после закачки доунлодера происходит резкое завершение родного процесса свхост.ехе далее закачивается троян с таким же именем и до ребуто все шито крыто, после ребуто начинается праздник лампочек на модеме... файрвол, как в винде так и в модеме ТУПО молчит.... проги типо IPtools непоказывают никаких левых конектов, только те каторые открыты..., далее при попытке ремувить закачанный свхост.ехе ессесно выдает что используется, при попытке завершить процесс - отказ... при попытке отключить сие счастье из реестра вообще фокусы... я запись на стартап кик--- ребут а она опять есть..., далее еще хуже в папочке тепорари инет файлс начинают по тиху появлятся некие проги типо 1.ехе 2.ехе и так далее.... лечится очень и очень просто..... ПРЕУСТАНОВКОЙ ВИНДЫ.... Заметил закономерность.... при посещении одного из форумов, каторый скорее всего подвергся атаке, появляется сие чудо.... хотя захадил с КИС 8 версии.... Слава Аллаху у меня Unlim мне пох!  |
|
|
|
|
Записан
|
"Только ошибка нуждается в поддержке правительства. Истина отстаивает себя сама". -
Томас Джефферсон. ©
|
|
|
|
Shneider
|
Ты бы сообщил нам всем, что за форум такой, который такой заразный? Буду очень благодарен. ПЫ.СЫ. Если нехочешь в теме, то плиз напиши в ЛС, что это за форум.  |
|
|
|
|
Записан
|
|
|
|
|
НеФедька
|
Мда.... наговорили тут вы..... У мну был такой...... Каспер сие чудо не сканит вообще, другие антивирусники молчат.... поправочка..... каспер только успел что то заикнуться по поводу что ваш комп заделался под спамбота..... При этом..... саздаются ТМПшники, сразу на томе где находится винда, далее хуже, после закачки доунлодера происходит резкое завершение родного процесса свхост.ехе далее закачивается троян с таким же именем и до ребуто все шито крыто, после ребуто начинается праздник лампочек на модеме... файрвол, как в винде так и в модеме ТУПО молчит.... проги типо IPtools непоказывают никаких левых конектов, только те каторые открыты..., далее при попытке ремувить закачанный свхост.ехе ессесно выдает что используется, при попытке завершить процесс - отказ... при попытке отключить сие счастье из реестра вообще фокусы... я запись на стартап кик--- ребут а она опять есть..., далее еще хуже в папочке тепорари инет файлс начинают по тиху появлятся некие проги типо 1.ехе 2.ехе и так далее.... лечится очень и очень просто..... ПРЕУСТАНОВКОЙ ВИНДЫ.... Заметил закономерность.... при посещении одного из форумов, каторый скорее всего подвергся атаке, появляется сие чудо.... хотя захадил с КИС 8 версии.... Слава Аллаху у меня Unlim мне пох! прости, но.... блйа... вот таких юзверей поубивал бы нах. не умеешь сам - отнеси тем, кто умеет. для того, что бы убить эту заразу - надо сперва прибить все её активные процессы. для этого берется утилка AVZ у неё есть свой расширенный анализатор процессов, который тебе даже цветом укажет на подозрительные процессы. Далее... самый главный найоп. родной файл svchost подменить НЕВОЗМОЖО! пока работает винда. оно просто создает файло с таким же именем, но в другой папке, а потом просто шифруется и скрывает себя как только может. короч. последовательность для этого такая: 1) отключить инет нафиг 2) взять AVZ и в её менеджере процессов убить все лишнее 3) сканировать этой же утилой все диски с удалением нах всего подозрительного. 4) сделать отчет о процессах и установленных дровах в системе 5) согласно отчету (в котором так же будут распознаны правильные и подозрительные дрова и процессы) по соответствующим ссылкам сгенерить скрипт. не забыть добавить в скрипт перегрузку системы. 6) выполнить скрипт. 7) повторять до тех пор, пока AVZ не перестанет находить подозрительные элементы. А вообще вам в помощь. там в случае чего помогут правильно сгенерить скрипт. только там надо сперва прочитать правила оформления запроса. И САМОЕ ГЛАВНОЕ! никогда... повторюсь: НИКОГДА не брать комп с предустановленной виндой... Только если вы реально доверяете конторе... иначе сразу формат всего. |
|
|
|
|
Записан
|
|
|
|
|
StatsMe
|
Вот блиа.... во первых.... я не тупее тебя..поверь мне... Насчет свхост.... ты погнал.... только что призагрузке этого трояна вылетает ошибка типо svhost.exe не может быть read и тупо его завершает ПРИ РАБОЧЕЙ ВИНДЕ!, далее идет релоад того самого свхост, вот только уже другого, далее.... что прикажеш делать с реестром умник?? Там саздается запись где откуда что качать и кагда запускать.... при ручном удалении этих записей, просто ребутиш комп а они опять есть, даже сейвил реестр, посля дабавлял, пофиг....... И это все при рабочем каспере.... каспер только видит когда что то начинает загружаться и аррет, причем это делает с переодичностью в 1 час... далее запустил KISv8 увидел паганца.... доступ блакирнул, НО опять же эта гадасть прописывается в реестре и пытается что то скачать... а это траффик.... возможен вариант только в настройках КИС поставить дополнительную галку Мониторинг реестра, но в этом случае он будет спрашивать дахрена чего, неопытный пользаватель не будет знать что разрешить а что нет! Далее.... как это происходит.... вы скачиваете трояна, он сканит тотальник на предмет пасворда от фтп, и если находит, то заходит по адрессу и тупо изменяет в заглавной страничке код, точнее вставляет вредоносный код, для скачки троянов....причем сайт работет норм на всех броузерах кроме IE! Далее еще лучше пытаешся сменить пасворд от фтп а те в ответ что то типо БД ответило отказом.... вигня, захожу в одминку сайтом пытаюсь отредоктировать док, а в ответ типо этот док редактируется в данный момент, кем?? х.з. кароче надо лезть через фтп и уберать эту дрянь! По поводу адресов, то по статистике, каждый 100 сайт страдает этой болезнью... по поводу подмены свхост умник лично тебе почитай! И если все эти действия сможет сделать обычный юзер, то я за него рад и он тогда не обычный, а так по большому ПЕРЕУСТАНОВКА ВИНДЫ самый простой способ! |
|
|
|
|
Записан
|
"Только ошибка нуждается в поддержке правительства. Истина отстаивает себя сама". -
Томас Джефферсон. ©
|
|
|
|
НеФедька
|
ахахаха. ну что же... Если ты пытаешься убить трояна, не вычистив память - удачи тебе! он ведь может висеть не отдельным процессом... а просто заныкаться дллкой или прикинуться драйвером перед тем, как чистить реестр и пытаться изгнать беса с винта - вычисти память. и ещё... переустановка винды - не спасение. Ведь может остаться зараженным какой-то экзешник... который ты сразу и запустишь на новой, чистой винде... и что тогда? быгыгы. сам себя опять... по второму кругу. да и вообще, если ты неопытный пользователь - в инет лучше не лазить. А если полез - будь готов к проблемам. |
|
|
|
|
Записан
|
|
|
|
|
: Вниз