как мне доказать, что вирус звонил по международной линии или где и как оставляет вирус следы на реестре, в системных папках, в случае переустановки ОС сверху следы остается?

Доказывать кому? Телефонистам бесполезно. Услуга оказана, деньги на бочку.

Следы при переустановке системы поверх большей частью остаются, проверено. Я думаю, что и сама звонилка сохранилась.

P.S. Незнание законов тайги не освобождает от знакомства с медведем...

Возможен вариант, что доказать надо не телефонистам, а шефу на работе. Правда есть некоторые сомнения, что шеф сможет правильно понять продемонстрированные ключи реестра и "звериные" файлики.

При установке сверху должна была остаться сама звонилка. Обнаружить её можно хорошим антивирусом.

дело в том что я обязан найти следов вируса автодозвона и доказать на суде, что это звонил вирус без ведома пользователя. если кто не будь по конкретнее сможет описать полностью, пожалуйста помогите!
после переустановки W98\2000 да следы остается а после WXP мне кажется не остается

дело в том что я обязан найти следов вируса автодозвона и доказать на суде, что это звонил вирус без ведома пользователя. если кто не будь по конкретнее сможет описать полностью, пожалуйста помогите!
после переустановки W98\2000 да следы остается а после WXP мне кажется не остается

Доказать в суде нереально ! Дело в том, что:
1. Даже если найти эту звонилку - как доказать, что звонила именно она ?? Даже если провести экспертизу (кем, где ?), то это не потянет на доказательство;
2. Телефонка качественно оказала услуги связи. Так что отказаться платить нереально. Судиться с телефонкой - тоже нереально, т.к. в чем суть иска против них ? В том, что некое оборудование абонента запросило соединение по корректному номеру и оно качественно было исполнено ? Судиться с создателями звонилки совсем нереально ...
3. Даже если найти файл, как доказать, что он был в момент звонка ? Что звонил именно он ? Что установка и звонок шли против воли пользователя ?

Короче, гиблое это дело .... я неоднократно удалял звонилки с ПК пользователей, и их попытки базарить с телефонкой заканчивались одинаково - все заплатили.

По поводу поиска файла - все просто - он должен сохраниться:
1. Сканирование диска AVZ ( и вообще всем, что перечисленов правилах запроса помощи) - может, кто что и найдет
2. Поиск файлов *.exe, *.dll, *.ocx, *.cab с датой создания/модификации = дате инцидента плюс-минус 1-2 недели. Доп. данные - размер порнозвонилки обычно не превышает 500 кб, типовой - 50-150 кб. Порнозвонилка часто бывает сжата UPX ... На иконке часто нарисовано что-то экзотическое, часто полуголое. В секции импорта часто есть wininet, rasapi. Единственный момент - есть звонилки особого плана - они не сохраняются на диске - вместо этого проводят перенастройку удаленного доступа и самоуничтожение. Тогда искать нечего
3. Выясняем номер телефона, по которому шел звонок - изем его (и его фрагменты, типа последних 5 цифр) в реестре и файлах на диске - есть маленький шанс, что повезет
4. Если доступ идет через прокси, пробуем получить у админов его логи поблизости от даты инфидента (неделя в минус - неделя в плюс). Фильтруем логи, ищем все запускаемое или архивы cab ... это часто дает ключ к разгадке

Дозвонщиков неплохо умеют искать антивирус Касперского (с расширенными базами) и Panda. Можно ещё попробовать а2 (http://virusinfo.info/index.php?board=25;action=display;threadid=185).

В таком случае, кто не будь знает адрес сайта который при обращение разрывает связь с местным провайдером и соединяется дальние зарубежье по диалапу, если можно по больше.

В таком случае, кто не будь знает адрес сайта который при обращение разрывает связь с местным провайдером и соединяется дальние зарубежье по диалапу, если можно по больше.

Сайт не может разорвать связь с чем либо и куда-либо позвонить. В странички сайта может быть замонтирован ActiveX, который после загрузки, установки и запуска будет выполнять функции звонилики (или некий скрипт предложит скачать и запустить программу - короче говоря, что-то запускаемое должно загрузиться и получить запуститься). Но и то, нужно согласиться на установку левого ActiveX (нажав OK в диалоге) ...

Не обязательно. Могли нажать сто лет назад, выставив при этом галочку "Больше не спрашивать".

Не обязательно. Могли нажать сто лет назад, выставив при этом галочку "Больше не спрашивать".

В принципе могли - или уровень безопасности поставить на минимум ... хотя тогда в ходе хождения по сайтам столько всего наползет - жуть ...

Дело в том, что многие люди смотрят порносайты и попадает на крупную сумму, при этом отказывается от оплаты и мне необходимо доказать что модемное соединение был именно его компа. Большинство случаев они очищает временные интернет файлы, реестры переустанавливает систему. В таких случаях как быть? Я хотел бы найти следы этих порнозвонилок все таки следы же остается, то что нахожу не достаточно.
Кто не будь знает?

Дело в том, что многие люди смотрят порносайты и попадает на крупную сумму, при этом отказывается от оплаты и мне необходимо доказать что модемное соединение был именно его компа. Большинство случаев они очищает временные интернет файлы, реестры переустанавливает систему. В таких случаях как быть? Я хотел бы найти следы этих порнозвонилок все таки следы же остается, то что нахожу не достаточно.
Кто не будь знает?

Следы найти можно (методы я описал выше). Но если юзер отформатировал HDD - тогда труба. Плюс чистка ПК разными антивирями и антиспайваре (они удалят следы). Кроме этого возможно хождение по порнухе с виртуальных ПК - тогда при завершении сеанса дается откат и следов вообще нигде не будет (на заметку - при поиске звонилки нужно поискать еще и виртуальный ПК).
Единственный надежный способ - это логи интернет-провайдера (если к ним естьдоступ и они ведуться). Идеальный случай - это работа через прокси провайдера ... тогда в логе видны посещенные сайты, закачка звонилки и далее по идее лог прерывается - т.к. звонилка наичнает прозвон

Большое спасибо! Зайцеву Олегу!
Пусть его продукт будет лучшими из лучших в компьютерном мире. С наилучшими пожеланиями его продукту и его самому Lucky!
если можно еще несколько вопросов?
1) в папке Program Feles имеется папки:
а)180Solutions
b)ISTbar
c)ISTsvc
d)Internet Optimizer
i)SideFinde
f)WhenU а внутри папок есть точно такие же exe -файлы и ddl файлы, при сканирование на антивирусном указывает что вирусы трояны DyFuCo. прочитал в интернете и узнал некоторый из них просто закачивает вредоносную программы. если можно какай из них автодозвон делает и остальные для чего?
2)в папке windows имеется файл toolbar это для чего?
3) в Downloaded Program Files имеется объекты с многими единичками а эти для чего?
4)Как они срабатывается имеется виду определенное время или случайным образом?Эти вирусы самопроизвольно ликвидируется?

Большое спасибо! Зайцеву Олегу!
Пусть его продукт будет лучшими из лучших в компьютерном мире. С наилучшими пожеланиями его продукту и его самому Lucky!
если можно еще несколько вопросов?
1) в папке Program Feles имеется папки:
а)180Solutions
b)ISTbar
c)ISTsvc
d)Internet Optimizer
i)SideFinde
f)WhenU а внутри папок есть точно такие же exe -файлы и ddl файлы, при сканирование на антивирусном указывает что вирусы трояны DyFuCo. прочитал в интернете и узнал некоторый из них просто закачивает вредоносную программы. если можно какай из них автодозвон делает и остальные для чего?
2)в папке windows имеется файл toolbar это для чего?
3) в Downloaded Program Files имеется объекты с многими единичками а эти для чего?
4)Как они срабатывается имеется виду определенное время или случайным образом?5)Эти вирусы самопроизвольно ликвидируется?

ISTbar и ISTsvc - это TrojanDownloader IstBar. Все остальное пости наверняка затянуто им (в IstBar прошит набор URL для закачки и инсталляции кучи левого ПО). Все остальные - SpyWare (собрают сведения о пользователе, посещенных URL ... и крутят контекстную рекламу).
2) А кто же его знает :) Нужно анализировать, что в этой папке toolbar лежит, тогда можно сказать точно
3) Объекты нужно прислать нам на анализ, тогда можно сказать точнее. Скорее всего троян.
4) Все перечисленное выше стартует при запуске системы и скрытно вивит в памяти. Или стартует вместе с IE.
5) Нет.
Если есть непонятки с этим ПК - мой совет - нужно зайти в раздел "Помогите", выполнить описанные там инструкции, затем создать тему с описанием проблемы и скинуть туда лог HijackThis ... по логу намного проще судить о том, что реально "живет" на ПК