Хакнули у меня некоторые сайты, решил проверить систему.
Оказалось что хак обнаруживается как Trojan.DownLoader.33840 только DrWeb-ом. Что хак - однозначно, т.к. в страницы на сайте дописывается даунлоадер через iframe.
В общем, неважно, вернемся к моему компу.
Я до кучи к ДРВеб установил еще последний Outpost Firewall Pro.
И вдруг сегодня обнаружил, что нечто лезет на тучу разных ip по udp на netbios_ns - все это блокируется аутпостом как запрет netbios-соединений.
После обнаружения этого я вырубил все программы, оставил аутпост, и оставил комп включенным на 3 часа. Активности по netbios - ноль.
Сканирование системы антивирусами ничего не выявляет. Но, аутпост иногда сообщает что Explorer пытался модифицировать его файлы.
За 8 минут обращения были примерно к 30-ти разным IP. Аутпост их не опознает (кроме процитированной макромедии), и если на конкретный ip дать tracert, то имя также не показывается, и на двух предпоследних хопах выводятся звездочки.
кстати, вот сейчас опять похожие ip полезли уже от system, точно также - udp, netbios_ns
Что интересно - за день я наблюдаю три таких "пакета" обращений на разные ip, все в течение 7-8 минут с hh:20 минут до hh:27 минут - в 13, 17 и 23 часа.
Я вот сейчас подумал - возможно это как-то связано с перезагрузками компа... Т.е. нечто запускается при старте?
логи как положено прицеплены (кроме virusinfo_cure.zip, который у меня 1.2 мб и не пропускается форумом).
Вопрос - что это может быть?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
я уже 4 или пять раз проверял - согласно правил пункт 8, выполнение скрипта "Скрипт лечения/карантина...." в AVZ скачанной мной позавчера с оригинального сайта, производит только файл
virusinfo_cure.zip
и больше ничего. Никаких файлов virusinfo_syscure.* не наблюдаю, нигде.
avz 4.27.0.1. Скачивал обновления первого октября.
Добавлено через 27 минут
to V_Bond:
почему-то BootCleaner некорректно записывает путь к файлам, и получается нечто вида \??\D:\TEMP\YAJC.exe.
соответственно, в архив эти файлы не попадают.
я взял их из карантина от предыдущего скана, они идентичны.
файл virus.zip закачал.
071002_173828_virus_4702c8641e97a.zip
p.s. возможно, yajc.exe - от RootkitRevealer Руссиновича. я тут по ходу пробую все, что можно...
Последний раз редактировалось kdv; 03.10.2007 в 02:39.
Причина: Добавлено
Вполне возможно, что на компьютере уже ничего нет вредоносного. Троян мог собрать все пароли и самоликвидироваться. Так что, вам следует уже сейчас поменять все пароли: почта, ICQ, доступ к сайтам, ftp и т.д.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: