Просмотр полной версии : Подозрение на троян
Возможно, на моем рабочем компе завелся троян.
Подозрительную сетевую активность я обнаружил при использовании анализатора Ethereal - с компа постоянно идут DNS запросы. Кусок лога в формате libpcap прикреплен.
Cканирование компа при помощи AVPersonal Касперского с расширенными базами от 10 января ничего не дало. Использование AVZ в параноидальном режиме тоже не помогло.
Далее я все сделал по правилам и прикрепил логи HijackThis и AVZ при запущеном IExplorer. (хотя я пользуюсь Оперой, но раз доктор сказал в морг-значит в морг ;)
Посоветуйте что делать дальше, рабочее место мне досталось "в наследство" от нескольких предыдущих работников, и переставлять систему очень бы нехотелось - можно прибить ненароком чужой архив
В общем и целом ничего особенного не видно. Однако если в плане паранои...
System32\Drivers\COMPT.SYS
System32\Drivers\DriverX.SYS
sojubus.sys
sojuscsi.sys
Вот эти файлы прислать нам, а параллельно можно проверить их на Вирустотал
Спасибо за готовность помочь ! Файлы отправил, а вот эту фразу: "а параллельно можно проверить их на Вирустотал" не понял :?
http://www.virustotal.com
Удалил через диспетчер устройств COMPT.sys
Поставил BitDefender Client Professional Plus 8.0.2
Обновил BitDefender
Поставил программу APS Олега Зайцева
Создал правило в BitDefender'e полностью запрещающее программе APS работу с сетью.
С соседнего компа в локалке запустил Lan Spy 2.0 и начал сканировать свой комп.
APS показал ПОЛНУЮ пробиваемость экрана :?
Toren, отключи в BitDefender фаервол (стенка там одно название, все в одном флаконе не есть хорошо, пример ZoneAlarm Security Suite, антивирус там довольно посредственный в отличии от стенки) и поставь нормальный фаервол ZoneAlarmpro 6.1.737.000 или Outpost v3.0 и при правильной настройке можешь быть на 99% спокоен от сетевых атак и взломов.
почитай обзор и тестирование в частности стенки http://www.ixbt.com/soft/bitdefender-8-pro.shtml
а если стенку тестировать более жестко то тогда я думаю большинство тестов он завалит.
2 SDA Пасиб, я уже понял, что BitDefender не лучшее решение.
2 All Решил я такимже макаром проверить и свой домашний комп - послушать анализатором, что же при поднятом тоннеле PPPoE (у меня так с провайдером линк организован) идет, на мой взгляд "левого". Опять таже картина - куча запросов на DNS сервер. Но на этот раз попалось кое что интересное: видно кратковременное соединенение с компом из "внехи". И, самое забавное, несколько входящих сообщений для Windows Messenger следующего содержания (увидеть их иначе,чем применив сниффер я не мог - служба отключена)
1) Critical system error ! The Windows registry appears to be infected. Please go to Universal Registry Infection Cleaner at http://www.uric.net to scan and repair system registry
2) REGISTRY DAMAGED
Your Windows registry is corrupted and needs to be cleaned immediarly
Compromized registry files can lead to the following:
1. Complete access to you PC by hackers
2. Slow speed resul
3) System has encountered an Internal Error
Your registry is corrupted
We recomend a complete system scan
Visit http://FixReg32.net to repair now
FAILURE TO ACT NOW MAI LEAD TO SYSTEM FAILURE!
Лог в формате tcpdump я прикрепил.
Вывод: все таки зверь есть (ни AVP, ни AVZ, ни BitDefend его не знают), известный он науке или нет - можете проверить сами - сходите по любому адресу и вам там подарят экземпляр :) . Я уже подустал пробовать разные средства и за выходные переставлю систему.
Больше компостировать мозги почтеннейшей публике я не буду :)
Но на этот раз попалось кое что интересное: видно кратковременное соединенение с компом из "внехи". И, самое забавное, несколько входящих сообщений для Windows Messenger следующего содержания (увидеть их иначе,чем применив сниффер я не мог - служба отключена)
1) Critical system error ! The Windows registry appears to be infected. Please go to Universal Registry Infection Cleaner at http://www.uric.net to scan and repair system registry
2) REGISTRY DAMAGED
Your Windows registry is corrupted and needs to be cleaned immediarly
Compromized registry files can lead to the following:
1. Complete access to you PC by hackers
2. Slow speed resul
3) System has encountered an Internal Error
Your registry is corrupted
We recomend a complete system scan
Visit http://FixReg32.net to repair now
FAILURE TO ACT NOW MAI LEAD TO SYSTEM FAILURE!
Лог в формате tcpdump я прикрепил.
Вывод: все таки зверь есть (ни AVP, ни AVZ, ни BitDefend его не знают), известный он науке или нет - можете проверить сами - сходите по любому адресу и вам там подарят экземпляр :) . Я уже подустал пробовать разные средства и за выходные переставлю систему.
Больше компостировать мозги почтеннейшей публике я не буду :)
вот-вот, не надо компостировать мозги. а то начитаются пользователи и устроят панику. это обычный рекламный спам через windows messenger, он приходит ВСЕМ, и это НЕ означает наличие вирусов/троянов на компьютере.
http://www.securinfo.ru/HowToSwitchOffWindowsMessenger?v=uqd
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot