| Автор | Сообщение |
|---|
sawjart Участник
Сообщения: 250
|
Короче , дело было так...
Задремавши в ночи у компа (нет был включён) , проснувшись , увидел в браузере 2 или 3 маленьких открытых пустых окна (типа всплывающих) , больше вродеб никаких проблем.
Проверил антивирем , антишпиёном-ничё не нашлось...
На следующий день комп стал страшно тормозить , но не все приложения , а так , процентов 80. И постоянно пытался открывать какую-то страничку в нете...Стоял антивирь Avast , потом пробовал NOD32 , старый DrWeb никто ничё не нашёл...
Потом купил лиц.ключик на DrWeb , обновил , потом уже он выловил трояна и успешно удалил , комп сразу растормозился , всё стало открываться , все как бы гут...НО!!!
Попытки в браузере открыть какую-то страничку НЕ ПРЕКРАТИЛИСЬ!
В диспечере задач обнаружил процесс со странным именем , каждый раз меняющимся , после перезагрузки , типа s1b4.exe , так если его прибить , то страничка не пытается открываться.
Вычислил где он живёт , сцука ,C:\Documents and Settings\*****\Local Settings\Temp и каждый раз при загрузке перезаписывается с другим именем.
Я так думаю , основная зараза живёт где-то в другом месте и сюда кажный раз эту хрень закидывает , но вот как это вычислить - откуда.
Ну вот в этом в принципе и есть собственно вопрос - КАК?
Или может какую прогу штоб гада выловит?
Откликнитесь спецы , плиз...
|
|
Светослав Участник
Сообщения: 374
|
AVZ, XoftSpy, AdAware, Spybot S&D и т.д. безплатние решения.
|
|
sawjart Участник
Сообщения: 250
|
Светослав, спасибо , чёт не подумал о шпиёнах , думал вирус...
Против шпиёнов боролся, обычно Anti -Spyware из Outpost Firewall , чёт лоханулся он , Anti -Spyware ,
ничё не нашёл... 
Скачал Spybot с обновлениями.
Проверяю систему , уже 5 штук поймал каких-то...процесс пока идёт...
Добавлено 30-08-2007 13:48
Процесс прошёл наловил аж 10 штук , всех поисправлял-поудалял , а толку НОЛЬ...
Опять появился этот процесс в диспечере прибил , опять всё нормально стало...
Неугомонная эта хрень , мошт другим каким попробовать антишпиёном...
|
|
sawjart Участник
Сообщения: 250
|
Пробовал исчо AVZ последним , обновлённым ... выловил ещё 1 штуку , но ничего не изменилось...
|
|
Felix Участник
Сообщения: 207
|
убей его как процесс и вычисти темповую папку
|
|
sawjart Участник
Сообщения: 250
|
Felix, убивал , и вычищал...
После перезагрузки всё тоже , но с другим именем , и процесс запущен...
|
|
D.Watson Участник
Сообщения: 399
|
sawjart, Очисть "кукиши" в браузере, убей кэш... проверь "домашнюю страничку" ( хиджак наверное поймал ). И откати систему на несколько дней назад...
|
|
Maxim_Z Гость 88.147.*.*
|
sawjart, погляди в реестре ветку run - нет ли чего лишнего. Кто-то ведь этот процесс запускает
Добавлено 30-08-2007 22:05
Еще. Поищи поиском файлы созданные, измененные в период заражения (интервал одни-двое сутки) по маскам *.bat *.com *.exe
|
|
sawjart Участник
Сообщения: 250
|
D.Watson, очищал "кукиши" и кэш , домашняя страничка пустая , система назад не катится...
Maxim_Z, о то, и я не могу понять , какая сцука его пускает...знать бы кто там лишний , ведь кажный день не смотришь ветку енту...Да и не спец я сильный в ентом...
Добавлено 30-08-2007 20:19
Maxim_Z, искал файлы , чёт нету, брал примерно 3-4 дня ...
|
|
Moriaan Гость 80.131.*.*
|
sawjart, убей процесс в Task-Manager и при помощи этой программы поудаляй из автозагрузки все подозрительные программы.Перед удалением, запомни путь к удаляемой программе и удали его с диска. На момент удаления, имя программы будет уже отличное от имени "убитого" в Task-Manager процесса.
 RegClean.rar 135,84 КБ Скачано: 532 раз(а)
|
|
sawjart Участник
Сообщения: 250
|
Moriaan, В автозагрузке ничё нету плдозрительного , только все знакомые...
Пути не показывает , поэтому и проблем...
|
|
Maxim_Z Гость 88.147.*.*
|
| sawjart писал: | | ведь кажный день не смотришь ветку енту. |
Погоди пока регклинить автоматилкой
Вот это покажи (вставленная картинка)
Пуск/выполнить/regedit.... Нажмёшь на "правку", "найти" по слову run, сними галки, оставь только напротив "имена разделов" (никак я запомнить не могу полный адрес  ) Потом будешь некоторое количество раз жать F3 до искомого
Добавлено 30-08-2007 23:05
Иногда попадаются ветки run у меня с internat.exe - это переключалка раскладок клавиатуры. Может называться ctfmon.exe
|
|
mazaj Участник
Сообщения: 335
|
Попробуй HijackThis v1.99.1 много раз помогал.
|
|
sawjart Участник
Сообщения: 250
|
mazaj, попробовал HijackThis v1.99.1 , чёт там ничё не понял , мошт совсем тупой...?
Всё так же , х"ёво...
Добавлено 30-08-2007 23:18
и чё?
Презентация21.gif 44,7 КБ Скачано: 466 раз(а)
|
|
Moriaan Гость 80.131.*.*
|
sawjart, не будь упрямым, возьми программу что я выложил. Там тебе не только "автозагрузгу" покажет, а весь комплект программ стартующих автоматически что прописаны в автозагрузке, win.ini или реестре и пути к ним.
|
|
Maxim_Z Гость 88.147.*.*
|
sawjart, скорее всего, говно запакованное живёт в подчеркнутом файле *.tmp.
Всё-всё закрой и пробуй удалить.
Имхо, не даст система его удалить. Ищи в реестре поиском по имени этого файла. Найдётся, возможно, что его запускает, преобразуя в экзешник
Да, включи, если отключено в свойствах, папки отображение расширений и скрытых файлов
|
|
sawjart Участник
Сообщения: 250
|
Moriaan, да взял , конечно , чё упрямитца , ничё нового прога не сказала...в автозагрузке нету такого...как-то она по другому всё это разруливает...
Maxim_Z, всё это удалял , даже на другой системе , после пуска усё опять прописывает , а откуда - не пишет...нету путей.Расшырения и скрытые файлы я наблюдаю...на картинке ж видать...
|
|
Maxim_Z Гость 88.147.*.*
|
| sawjart писал: | | на картинке ж видать... |
Это я уж так, автоматически... 
Ну, не знаю чем бы еще помочь
Вот попробуй autoruns ,но, думаю, тоже не поможет - хитрая, сволочь! Шифруеццо она у тебя дюже.
Я что-то подобное ловил от своего провайдера прошлого, покарточно-диалапного, но было это два года назад. Как только сработало,
пришла бумажка - не хотите ли вы подключиться к файлообменной сети по дсл 
Был батник в корне С:, тмп - в темпорари интернет файлс и какая-то гадость в систем32. Делался автоматом екзешник и тхт. В тхт лежал пароль/логин фтп, куда сливалась инфа, что лежит на диске - типа каталога- названия файлов и папок.
В интернет само не лезло, но когда было подключение, данные уходили от меня. В районе 3,5 МБ. Процесс, с цифрами в названии, в диспетчере не снимался и какой-то файл из этой связки не удалялся с диска. Пришлось зачищать из-под другой системы Сейчас на всех компах в автозагрузке диспетчер задач и я в него поглядываю.
Вот еще несколько мониторов всего-и-вся, которые я использовал для ловли блох тогда.
Ловил я их долго и так.
1) запускал программу, типа регмона, авторунс и т.д., если видел незнакомый процесс:
а) искал его на диске поиском и смотрел его свойства, когда создан и т.п. в реестре тож где прописан и что;
б) искал его в гугле и читал. Так и знакомился.
Пробуй, пиши. Формат Ц всегда успешь сделать.
Добавлено 31-08-2007 04:58
да, у меня 2k
autoruns.rar 88,94 КБ Скачано: 454 раз(а)
ntregmon.zip 84,88 КБ Скачано: 466 раз(а)
trashreg.zip 86,86 КБ Скачано: 528 раз(а)
regmon_filemon_patched.rar 141,62 КБ Скачано: 481 раз(а)
procexpnt.zip 248,5 КБ Скачано: 431 раз(а)
FILEMON.ZIP 91,65 КБ Скачано: 430 раз(а)
|
|
MICHAIL Monitor's Killer  Сообщения: 3829
|
|
Светослав Участник
Сообщения: 374
|
|
Andrey74 Участник
Сообщения: 47
|
sawjart, Попробуй подцепить свой диск к "чистому" компьютеру и проверь AVP и далее по списку.... Если у тебя что-то сидит в памяти, то он может блокировать нахождение себя разными антивирусами.
|
|
MICHAIL Monitor's Killer Сообщения: 3829
|
|
sawjart Участник
Сообщения: 250
|
Светослав, по блгаски шпрехен нихьт...
Andrey74, к чистому компу цеплять , усе бояццо , не хочуть...по этому никак...
MICHAIL, ...И в познавательном плане...и Вот... читал
Однако AVZ в ручном режиме , выдал.... Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\smskjikj.dll"
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe, imsbr.exe"
При всём вэбэр поймал трояна с именем smskjikj.dll , поэтому исправил в ручную explorer.exe и всё стало нормуль...
Пока всё нормально , вроде как всё решено...
Всем спасибо.
|
|
Талян Новичок
Сообщения: 11
|
Простой совет - Полное форматирование!!! Я пытался убрать ТРОЯНА усебя--Бесполезно. Опробывал все выше перечисленные способы.
У меня всплывало окно в exsplorere ,комп пытался выйти в НЕТ. это было начало, потом стали появлятся папки сами по себе налюбом логическом диске(он у меня разбит на 3) под именем администратора. В диспетчере задач Стали запускаться процессы паралельно системным, я долго не мог понять откуда они пока не понял что это вирус.Иконечно начинались тормоза.
Касперский чистил, ночерез какоето время всё опять вспывало. Я форматнул диск: С-это у меня система Думал всё, инфу оставил на
D и E, но скоро всё началось по новой. Концовка--Полностью отформотировал винт,
P.S. предпологаю что трояна занёс из игрового диска: Аркады 500 игр, взял у друга, на его компе появилось тоже всплывающее окно. Может утебя не такой вирус, но я пока сним боролся замучил всех знакомых USERов.
|
|
JohnK Предупреждений: 1  Сообщения: 4488
|
| Талян писал: | | Я пытался убрать ТРОЯНА усебя--Бесполезно. |
| Талян писал: | | я пока сним боролся замучил всех знакомых USERов. |
Ты бы еще у ламеров совета спрашивал 
|
|
Талян Новичок
Сообщения: 11
|
JohnK, Товарищи учёные!!! не надо сильно смеяться, мы все были ламерами, Ачто делать когда придёшь куда нибудь на фирму,а там говорят давай всё снесём и поставим новую ВИНДУ .мало кому хочется истреблять вирусы. Так и учишься сам, что у кентов спросишь, что на форумах найдёшь. 
|
|
JohnK Предупреждений: 1 Сообщения: 4488
|
Талян, Так конечно, форумы гуд, книги гуд, а вот спросить у знающих людей у программеров, системшиков, админов ну не судьба, тебе любой админ с радостью советом поможет а если еще и пивком угостишь
|
|
TNN Гость 82.207.*.*
|
Так вы выловили или нет ? Я довольно быстро его нашел и очень просто с помощью AutoRuns ( у меня 9.13 русская). Просто обычно такие заразы неимеют ни описания ни издателя (на что на первое я и начал обращать внимание). Файло засело в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell как раз рядышком с Explorer.exe, устроилась и называется imsbr.exe. Физически висит в system32. Шлепнул и все. Потом в темпах шлепнул его порождения.
|
|
vittt Участник
Сообщения: 633
|
TNN, ты на дату смотри- пол года уже прошло.А такая зараза обычно "Руткитом"виндовским обзывается..
|
|
|
