здравия всем обитателям!
для начала введение в историю :
лаптоп гатевай (п4-м/512 ддр ну итд) подцепил кучку хорошенйкую спываре и троянов, причем немеренно подцепил ( болше 5К трацес в регистре удалил + около 30 разновидностеи троянов-короче запушен был по полнои программе) все ети спываре и трояны были удалены, но вот незадача : тепер когда комп устанавливает и-нет соединение сетевуха шлет миллионс пустых пакетов по локалке в течении пары минут но количество пересылаемои информации менше одного мегабаита -казалос бы не вопрос -траффик анализер/сниффер/декодер так исделал однако посколку пакеты пустые ничего из них сниффит 0(зеро)баит пакет,решил посмотрет с помошю винтерналс регмонитора...зараза не запускаетса на том компе пишет что уже один такои же работает,но я проверял нету ... думал фаилмонитор запустит -тоже самое -не пашет ,завтра попробую другую прогу какую нинбуд а то ети все в одном пучке пришли (думал может прога криво встала нифига на других компах при тех же условиях работает без проблем) tcp view хот работает как собственно и узнал что пакетс зеро баит и что дестинатион ИП на локал ЛАН находитса завтра проверю что за ИП такои ,куда все ето добро посылаетса.
что самое интересное с етого компа ПИНГ отлично проходит оутсаид ЛАН-а а вот открыт страницы проблема настояшайа - гоогле открываетса около 3 минут...
завтра еше кое какие детали узнаю напишу,если кого заинтересует могу сkреен шотс послат я несколко сделал может там чего то увидите чего я не увидел ?
вопрос собственно как вернут и-нет в нормалное состояние ?
p.s. заврта буду пытатса узнат что за софт занимаетса етои хреню...
respect
времени нету подробности написат (позже отпишус) а сеичас ,
тут вон чаго получаетса :
процесс ехплорер (sysinternals) показал кое какие подозрителные процессы, а конкретно
2 svchost.ехе ( которые собственно и шлют какую то част етих пакетов) почему я на них подумал :
первое :нормалный svchost.ехе находитса в сiстем32 папке а етот на root c:\ и невидим ,я его никак не могу наити ниоднои прогои (даже сафе моде ) второе они работают на UDP/TCP порты - 1900;5000 а ето уже навело на кое какие мысли, особенно 5000 ( похоже я не всех троянов вычистил)
осталное пожже.
да еше одна детал : OPENPorts показывает процессы которые имеют определенный PID и NAME ,так вот нормалный svchost.ехе (из сыстем32 папки) нормално определилса етои прогои как собственно и многие другие что исползуют и-нет а етот "левый" определилса как UNKNOWN + никакои информации о company (как например в нормалном svchost.ехе из сыстем32 -миkрософт)
Ну, ты сам сказал - не всех вычистил.
А кому счас легко...
Макс, ну что ты в самом-то деле? В реестре поищи, откуда они грузятся, сделай экспорт reg-файла, подправь ручками, что нужно. Загрузи recovery console и спокойно ехешники покиляй. Потом импорт regов - и порядок.
Настоящий джентльмен назовет кошку кошкой, даже наступив на нее в темноте.
Что-то ищем? Google в помощь
max3 Возми HijackThis и почисти им, в случае непоняток лог сюда запости.
А вообще для таких вопросов лучще на IXBT соотв раздел использовать...
За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.
rqt :
ето одно из первых что я сделал,а ети оставшиеся он невидит ,непоняток небыло до сих пор с хаиджаком.
Danzer :
даня, как я и говорил был я в рековери консоле ,но походу не все ликвидировал, придетса еше разок. 8--)
Ееех, мат ети ети трояны ,едакии попалса настырный !
p.s.
что меня очен силно задевает что когда такие штуки невидит антивирус, а еше болше меня задевает когда я пробовал около 5 разных АВ и ниодин не видел етои заразы.
NOD32 тоже пробовал?..
- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..
NOD32 - HeT
1.Antivir
2.bitdefender
3.norton
4.F-Prot
5.McAfee
6.rav
ети пробовал -не нашли
max3
Таки попробуй - он по эвристике чуть ли не лучший по каким-то тестам...
- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..
max3 Если эта гадина не дает запускать утилиты от Руссиновича, то, возможно она знает и про HijackThis. Тогда с ней бороться гораздо сложнее но тоже можно.
Самый простой вариант - загрузить с CD что-нибудь вроде Infr@CD на базе Win PE и посмотреть что найдут на диске антивирусы. Если это по каким-то причинам не возможно, грузимся в Сейфмоде запускаем ФАР и при его помощи убиваем все подозрительные процессы. Возможно, эта дрянь себя страхует и перезапускает, тогда перед тем как убить процесс в памяти надо его переименовать на диске, так как удалить его скорее всего не дадут...
За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.
Гм, я бы просто сделал repair венде. Как правило это эффективно добывает всех троянов вместе с дравйверами, эмуляторами CD и прочим non-userspace софтом. Переставиь драйвера ИМХО прое чем переставлять систему с приложениями.
ex-K9
Отправить комментарий