Показано с 1 по 10 из 10.

Подозрение на троян (заявка № 4437)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2006
    Сообщений
    8
    Вес репутации
    40

    Подозрение на троян

    Возможно, на моем рабочем компе завелся троян.
    Подозрительную сетевую активность я обнаружил при использовании анализатора Ethereal - с компа постоянно идут DNS запросы. Кусок лога в формате libpcap прикреплен.
    Cканирование компа при помощи AVPersonal Касперского с расширенными базами от 10 января ничего не дало. Использование AVZ в параноидальном режиме тоже не помогло.
    Далее я все сделал по правилам и прикрепил логи HijackThis и AVZ при запущеном IExplorer. (хотя я пользуюсь Оперой, но раз доктор сказал в морг-значит в морг

    Посоветуйте что делать дальше, рабочее место мне досталось "в наследство" от нескольких предыдущих работников, и переставлять систему очень бы нехотелось - можно прибить ненароком чужой архив
    Вложения Вложения
    • Тип файла: zip logs.zip (7.4 Кб, 8 просмотров)

  2. Реклама
     

  3. #2
    Geser
    Guest
    В общем и целом ничего особенного не видно. Однако если в плане паранои...
    System32\Drivers\COMPT.SYS
    System32\Drivers\DriverX.SYS
    sojubus.sys
    sojuscsi.sys
    Вот эти файлы прислать нам, а параллельно можно проверить их на Вирустотал

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2006
    Сообщений
    8
    Вес репутации
    40
    Спасибо за готовность помочь ! Файлы отправил, а вот эту фразу: "а параллельно можно проверить их на Вирустотал" не понял

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    12.01.2006
    Сообщений
    8
    Вес репутации
    40
    Удалил через диспетчер устройств COMPT.sys
    Поставил BitDefender Client Professional Plus 8.0.2
    Обновил BitDefender
    Поставил программу APS Олега Зайцева
    Создал правило в BitDefender'e полностью запрещающее программе APS работу с сетью.
    С соседнего компа в локалке запустил Lan Spy 2.0 и начал сканировать свой комп.

    APS показал ПОЛНУЮ пробиваемость экрана

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    Toren, отключи в BitDefender фаервол (стенка там одно название, все в одном флаконе не есть хорошо, пример ZoneAlarm Security Suite, антивирус там довольно посредственный в отличии от стенки) и поставь нормальный фаервол ZoneAlarmpro 6.1.737.000 или Outpost v3.0 и при правильной настройке можешь быть на 99% спокоен от сетевых атак и взломов.
    почитай обзор и тестирование в частности стенки http://www.ixbt.com/soft/bitdefender-8-pro.shtml
    а если стенку тестировать более жестко то тогда я думаю большинство тестов он завалит.
    Последний раз редактировалось SDA; 13.01.2006 в 18:09.

  8. #7
    Junior Member Репутация
    Регистрация
    12.01.2006
    Сообщений
    8
    Вес репутации
    40
    2 SDA Пасиб, я уже понял, что BitDefender не лучшее решение.
    2 All Решил я такимже макаром проверить и свой домашний комп - послушать анализатором, что же при поднятом тоннеле PPPoE (у меня так с провайдером линк организован) идет, на мой взгляд "левого". Опять таже картина - куча запросов на DNS сервер. Но на этот раз попалось кое что интересное: видно кратковременное соединенение с компом из "внехи". И, самое забавное, несколько входящих сообщений для Windows Messenger следующего содержания (увидеть их иначе,чем применив сниффер я не мог - служба отключена)
    1) Critical system error ! The Windows registry appears to be infected. Please go to Universal Registry Infection Cleaner at http://www.uric.net to scan and repair system registry

    2) REGISTRY DAMAGED
    Your Windows registry is corrupted and needs to be cleaned immediarly
    Compromized registry files can lead to the following:
    1. Complete access to you PC by hackers
    2. Slow speed resul


    3) System has encountered an Internal Error
    Your registry is corrupted
    We recomend a complete system scan
    Visit http://FixReg32.net to repair now
    FAILURE TO ACT NOW MAI LEAD TO SYSTEM FAILURE!


    Лог в формате tcpdump я прикрепил.
    Вывод: все таки зверь есть (ни AVP, ни AVZ, ни BitDefend его не знают), известный он науке или нет - можете проверить сами - сходите по любому адресу и вам там подарят экземпляр . Я уже подустал пробовать разные средства и за выходные переставлю систему.
    Больше компостировать мозги почтеннейшей публике я не буду
    Последний раз редактировалось Toren; 14.01.2006 в 08:16.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Toren
    Но на этот раз попалось кое что интересное: видно кратковременное соединенение с компом из "внехи". И, самое забавное, несколько входящих сообщений для Windows Messenger следующего содержания (увидеть их иначе,чем применив сниффер я не мог - служба отключена)
    1) Critical system error ! The Windows registry appears to be infected. Please go to Universal Registry Infection Cleaner at http://www.uric.net to scan and repair system registry

    2) REGISTRY DAMAGED
    Your Windows registry is corrupted and needs to be cleaned immediarly
    Compromized registry files can lead to the following:
    1. Complete access to you PC by hackers
    2. Slow speed resul


    3) System has encountered an Internal Error
    Your registry is corrupted
    We recomend a complete system scan
    Visit http://FixReg32.net to repair now
    FAILURE TO ACT NOW MAI LEAD TO SYSTEM FAILURE!


    Лог в формате tcpdump я прикрепил.
    Вывод: все таки зверь есть (ни AVP, ни AVZ, ни BitDefend его не знают), известный он науке или нет - можете проверить сами - сходите по любому адресу и вам там подарят экземпляр . Я уже подустал пробовать разные средства и за выходные переставлю систему.
    Больше компостировать мозги почтеннейшей публике я не буду
    вот-вот, не надо компостировать мозги. а то начитаются пользователи и устроят панику. это обычный рекламный спам через windows messenger, он приходит ВСЕМ, и это НЕ означает наличие вирусов/троянов на компьютере.

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    12.01.2006
    Сообщений
    8
    Вес репутации
    40
    Спасибо всем !

  • Уважаемый(ая) Toren, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение на WM троян
      От -=DeS=- в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.05.2010, 10:43
    2. Подозрение на троян.
      От qokyon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.04.2010, 00:57
    3. Подозрение на троян
      От psyinfo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.12.2009, 12:20
    4. Подозрение на троян
      От Brodsky в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:06
    5. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01133 seconds with 21 queries