Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Software > Software Security
Register

Reply
 
LinkBack Thread Tools
Old 25.11.2004, 20:41   #1
Николай Константинов
 
Н.К.Рерих's Avatar
 
Join Date: 01 2002
Location: Гималаи
Age: 33
Posts: 5,571
Downloads: 1
Uploads: 0
Blog Entries: 1
Reputation: 36 | 5
Default Троян у меня в компе.

Надеюсь раздел для этого дела правильно выбрал.

Подключаюсь из дому по дайлапу, провайдер Арментел, даю запрос - результатов ноль, ни одной странички не открывет, точнее открывает смертельно медленно. Пинг дает постоянный тайм аут. Открыл Таск Менеджер - обнаружил некий exe winole.
Притом уплоад успел докатиться до 700кб, а даунлоад - около 1-2кб
Срочно дал дисконект, закрыл виноле, снова пдключился. все впорядке. Нашел этот самый виноле в папке систем32. На сайте симентек (у меня нортон стоит, up to date) нашел что мол троян такой блабла...
Под сейф моде скан диск все равно ничего ен дал. Сейчас взял да и сделал cut этого файла, перекинул в темп папку. В регистрах в стартапе сидела эта програмка, оттуда ее стер...
Комп вроде работает нормально, никаких неизвестных уплоадов нету.

Вопрос:Можете мне несчастному дизайнеру подсказать, это очень больно? Что могло успеть перекачаться, откуда мог появитья этот вирус? Когда? Сегодня и сразу начал действовать, соответственно мог прийти в одном из сегодняшних мейлов, или же мог сидеть давн, только вылезти...
Кто может чего-нибудь хотя бы подксзать? а?
В компьюторе у меня данные не только мои, но и всей нашей компании.. в общем боязно мне...
Reply With Quote
Old 25.11.2004, 23:04   #2
...overwined...
 
noone's Avatar
 
Join Date: 03 2003
Location: ...tortuga...
Posts: 3,429
Downloads: 3
Uploads: 0
Reputation: 158 | 3
Default

да в принципе с любого нехорошего сайта...
поставь lavasoft ad-aware... www.lavasoft.de - проблем будет гораздо меньше...
Reply With Quote
Old 26.11.2004, 11:17   #3
СволочЪ
 
Вирус's Avatar
 
Join Date: 08 2002
Location: Yerevan
Age: 36
Posts: 357
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Lightbulb

Обычно трояны выкачивают информацию о провайдере, пароли. Однако, если автор трояна не из Армении, врядли стоит волноваться - ему врядли когда нибудь понадобится выкачаная у тебя инфа.

Часто трояны закачивают пользователю дополнительные файлы, которые позволяют хозяину трояна свободно шарить на диске жертвы. Проверь, какие порты у тебя открыты - прикрой. Проверь, не появилось ли в Run (Run Once) в реестре ссылок на незнакомые exe / dll / и т.д. файлы, если что-то кажется подозрительным - прибей, особого вреда не будет.

Часто трояны заменяют собой уже прописаные в реестре проги, которые копируют черт-знает-куда и только отработав свой код, передают им управление. Этот случай отследить сложнее.

Если не лень - потрать пару часов на формат / переустановку системы - 99.9% метод
Reply With Quote
Old 26.11.2004, 12:12   #4
Николай Константинов
 
Н.К.Рерих's Avatar
 
Join Date: 01 2002
Location: Гималаи
Age: 33
Posts: 5,571
Downloads: 1
Uploads: 0
Blog Entries: 1
Reputation: 36 | 5
Default

Noone>>
У меня он стоит кстати, я последний упдейт делал наверное пару недель назад, И он ничего не нашел... Очень шустрый какой-то вирус наверное.

Вирус>>
Сейчас я его перенес в другую папку, он там в пассиве сидит. В ране я именно этого Виноле и нашел, стер, также вычистил весь реестер от Виноле, в нескольких местах также нашлось. Я мало разбираюсь что там за что отвечает, но мне лично тут уже пофиг, все стер, сейчас вроде работает нормально. Никаких уплоадов ненормальных не идет...
Поставил Аутпост файрвол в добавок.. авось чего

Спасибо большое.
Reply With Quote
Old 26.11.2004, 12:23   #5
панаехавший
 
Obelix's Avatar
 
Join Date: 06 2003
Location: форпост
Age: 30
Posts: 4,007
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

27px, ставь файрволл и забудь обо всем этом.
А трояны гони куда подальше
Reply With Quote
Old 26.11.2004, 14:53   #6
Николай Константинов
 
Н.К.Рерих's Avatar
 
Join Date: 01 2002
Location: Гималаи
Age: 33
Posts: 5,571
Downloads: 1
Uploads: 0
Blog Entries: 1
Reputation: 36 | 5
Default

Вопрос еще один:
Может ли письмо, закаченное TheBat 2.04.7 где атачмента нету, на самом деле содержать атачмент, невидимый?
Хоть стоит у меня Нортоновский Антивирус, но не очень я ему доверяю.
Reply With Quote
Old 26.11.2004, 19:52   #7
Академик
 
W_z_rd's Avatar
 
Join Date: 08 2002
Location: Yerevan, Armenia
Age: 45
Posts: 4,854
Downloads: 1
Uploads: 0
Reputation: 225 | 3
Default

Ya b pomenyal vse paroli i etim ogranichilsya by, derzha uxo vostro, na budushee.
Reply With Quote
Old 26.11.2004, 21:32   #8
Николай Константинов
 
Н.К.Рерих's Avatar
 
Join Date: 01 2002
Location: Гималаи
Age: 33
Posts: 5,571
Downloads: 1
Uploads: 0
Blog Entries: 1
Reputation: 36 | 5
Default

Спасибо всем
Reply With Quote
Old 27.11.2004, 08:02   #9
Консервативн
 
VX's Avatar
 
Join Date: 01 2002
Location: Кавказская Албания
Posts: 889
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Нет, этим аутлук страдает не бат.
Сет сотри вообще этот файл и дело с концом, и будь повнимательнее, обновляй виндоз
Reply With Quote
Old 27.11.2004, 11:46   #10
Николай Константинов
 
Н.К.Рерих's Avatar
 
Join Date: 01 2002
Location: Гималаи
Age: 33
Posts: 5,571
Downloads: 1
Uploads: 0
Blog Entries: 1
Reputation: 36 | 5
Default

Уф.. не знаю... от этого избавился, сейчас файрвол стоит, видно будет. Всем спасибо.
Reply With Quote
Old 28.11.2004, 12:34   #11
★★★★★★★★★★★★★
 
Hrach_Techie's Avatar
 
Join Date: 08 2004
Location: London, UK
Age: 38
Posts: 16,531
Downloads: 8
Uploads: 0
Reputation: 482 | 6
Default

http://www.analogx.com/contents/down...ork/pblock.htm
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 23:59.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.