Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Антивирусы


Закрытая тема
 
Опции темы Опции просмотра
Старый 16.09.2008, 19:14   #1 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
Unhappy Троян - поиск

Короче, тут такое дело: бродил по и-нету, вдруг Nod сообщает, что обнаружен вирус: файл C:\WINDOWS\System32\drivers\Winnn33.sys, Win32/Wigon.CK троян, юзер NT AUTHORITY\SYSTEM, Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!).
Сразу за этим сообщением последовало другое: файл ..., вероятно модифицированный Win32/Statik приложение, юзер NT AUTHORITY\SYSTEM.
Затем он начал с большой скоростью качать и отдавать что-то в и-нет.
Я выключил и-нет, включил опять - он начинает что-то качать и отправлять. Прошерстил процессы в диспетчере задач, службы просмотрел, глубокой проверкой просканировал диски (антивирь NOD 32 2.7 база данных 3444 (самая новая)). Нашёл парочку вирусов и троянов и всё.
Перезагрузил комп, включил и-нет - работает нормально. Через пять минут Нод опять нашёл троян, и что-то начало качать/отправлять. Отключил два подозрительных процесса, и вроде всё работает нормально, но мне неспокойно (вирус не найден, да и плата за и-нет по траффику).
Что посоветуете?
FireKiller вне форума  

Старый 16.09.2008, 19:14
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Рекомендую вам прочитать темы, которые уже тут встречались

Троян новой модификации
Троян и червь на флешке

Старый 16.09.2008, 19:17   #2 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
По умолчанию

Вот что пишут на http://myceck.com/:
domain MYCECK.com has been disable
FireKiller вне форума  
Старый 16.09.2008, 19:18   #3 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
По умолчанию

Скажите прогу, которая отслеживает все процессы, подключающиеся к и-нету - может быть так его можно выявить...
FireKiller вне форума  
Старый 16.09.2008, 19:23   #4 (permalink)
Артём
votum separatum
 
Аватар для Артём
 
Регистрация: 05.05.2008
Сообщений: 14,607
Записей в дневнике: 52
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 18619
По умолчанию

Дима, да.. хапанул ты гадость какую-то. Качай Dr.Web, сканируйся в безопасном режиме. При этом отключи восстановление системы и действующий Nod.
Проверь автозагрузку программ.
>C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!).
Отключи в свойствах папки скрытие папок и файлов, может найдешь и грохнешь вручную. Пока так, пиши что дальше будет
Артём вне форума  
Старый 16.09.2008, 19:24   #5 (permalink)
Артём
votum separatum
 
Аватар для Артём
 
Регистрация: 05.05.2008
Сообщений: 14,607
Записей в дневнике: 52
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 18619
По умолчанию

2IP NetMonitor кажется такая прожка есть. Отслеживает открытые порты и все сетевые соединения по ним (исх., вход.) Да, и почисть карантины Нода и Веба (в безопасном тоже).
Артём вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 17.09.2008, 10:18   #6 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
По умолчанию

Деньги кончаются! Эта гадина на пару секунд качает около 2-3 мегов!
Лицензионного Доктора мне негде достать. Все тэмпы проверил - пустые (даже по свойствам они пустые). В автозагрузке ничего лишнего нет.
Сейчас буду искать этот NetMonitor.
FireKiller вне форума  
Старый 17.09.2008, 10:30   #7 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
По умолчанию

Методом проб и ошибок я его вычислил. До включения и-нета у меня было 49 процессов в диспетчере задач (их я сфоткал). После обнаружения вируса их стало 50! И он снова начал качать. Процесс я вычислил - это был один из svchost.exe. Выключил его и скачивание прекратилось!
Глубокий анализ по дискам Нодом в безопасном режиме вновь ничего не выдал.
FireKiller вне форума  
Старый 17.09.2008, 10:36   #8 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
По умолчанию

2IP NetMonitor подтвердил мою догадку (правда там этих svchost.exe нескольно, но ESTABLISHED только один). Пока схожу положу денюжку на и-нет, потом продолжу поиски трояна более тщательно.
FireKiller вне форума  
Старый 17.09.2008, 12:03   #9 (permalink)
saturn721
Member
 
Регистрация: 17.09.2007
Сообщений: 175
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 31
По умолчанию

А нельзя т.с. "искать троян выдернув сетевой шнур"?
Я эту фигню по ссылке скачал, чего с ней делать?
saturn721 вне форума  
Старый 17.09.2008, 12:19   #10 (permalink)
FireKiller
Member
 
Аватар для FireKiller
 
Регистрация: 21.04.2007
Сообщений: 594
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 112
По умолчанию

Какую фигню?! Это троян! Я же сказал по ссылке не проходить!!!!
FireKiller вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Закрытая тема

Метки
троян

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 12:57.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.