-
Вложений: 1
Подозрение на троян
Возможно, на моем рабочем компе завелся троян.
Подозрительную сетевую активность я обнаружил при использовании анализатора Ethereal - с компа постоянно идут DNS запросы. Кусок лога в формате libpcap прикреплен.
Cканирование компа при помощи AVPersonal Касперского с расширенными базами от 10 января ничего не дало. Использование AVZ в параноидальном режиме тоже не помогло.
Далее я все сделал по правилам и прикрепил логи HijackThis и AVZ при запущеном IExplorer. (хотя я пользуюсь Оперой, но раз доктор сказал в морг-значит в морг ;)
Посоветуйте что делать дальше, рабочее место мне досталось "в наследство" от нескольких предыдущих работников, и переставлять систему очень бы нехотелось - можно прибить ненароком чужой архив
-
В общем и целом ничего особенного не видно. Однако если в плане паранои...
System32\Drivers\COMPT.SYS
System32\Drivers\DriverX.SYS
sojubus.sys
sojuscsi.sys
Вот эти файлы прислать нам, а параллельно можно проверить их на Вирустотал
-
Спасибо за готовность помочь ! Файлы отправил, а вот эту фразу: [B]"а параллельно можно проверить их на Вирустотал"[/B] не понял :?
-
[url]http://www.virustotal.com[/url]
-
Удалил через диспетчер устройств COMPT.sys
Поставил BitDefender Client Professional Plus 8.0.2
Обновил BitDefender
Поставил программу APS Олега Зайцева
Создал правило в BitDefender'e полностью запрещающее программе APS работу с сетью.
С соседнего компа в локалке запустил Lan Spy 2.0 и начал сканировать свой комп.
APS показал ПОЛНУЮ пробиваемость экрана :?
-
Toren, отключи в BitDefender фаервол (стенка там одно название, все в одном флаконе не есть хорошо, пример ZoneAlarm Security Suite, антивирус там довольно посредственный в отличии от стенки) и поставь нормальный фаервол ZoneAlarmpro 6.1.737.000 или Outpost v3.0 и при правильной настройке можешь быть на 99% спокоен от сетевых атак и взломов.
почитай обзор и тестирование в частности стенки [url]http://www.ixbt.com/soft/bitdefender-8-pro.shtml[/url]
а если стенку тестировать более жестко то тогда я думаю большинство тестов он завалит.
-
[B]2 SDA[/B] Пасиб, я уже понял, что BitDefender не лучшее решение.
[B]2 All[/B] Решил я такимже макаром проверить и свой домашний комп - послушать анализатором, что же при поднятом тоннеле PPPoE (у меня так с провайдером линк организован) идет, на мой взгляд "левого". Опять таже картина - куча запросов на DNS сервер. Но на этот раз попалось кое что интересное: видно кратковременное соединенение с компом из "внехи". И, самое забавное, несколько входящих сообщений для Windows Messenger следующего содержания (увидеть их иначе,чем применив сниффер я не мог - служба отключена)
1)[I] Critical system error ! The Windows registry appears to be infected. Please go to Universal Registry Infection Cleaner at [URL="http://www.uric.net"]http://www.uric.net[/URL] to scan and repair system registry[/I]
2)[I] REGISTRY DAMAGED
Your Windows registry is corrupted and needs to be cleaned immediarly
Compromized registry files can lead to the following:
1. Complete access to you PC by hackers
2. Slow speed resul[/I]
3) [I] System has encountered an Internal Error
Your registry is corrupted
We recomend a complete system scan
Visit [URL="http://FixReg32.net"]http://FixReg32.net[/URL] to repair now
FAILURE TO ACT NOW MAI LEAD TO SYSTEM FAILURE! [/I]
Лог в формате tcpdump я прикрепил.
Вывод: все таки зверь есть (ни AVP, ни AVZ, ни BitDefend его не знают), известный он науке или нет - можете проверить сами - сходите по любому адресу и вам там подарят экземпляр :) . Я уже подустал пробовать разные средства и за выходные переставлю систему.
Больше компостировать мозги почтеннейшей публике я не буду :)
-
[QUOTE=Toren]Но на этот раз попалось кое что интересное: видно кратковременное соединенение с компом из "внехи". И, самое забавное, несколько входящих сообщений для Windows Messenger следующего содержания (увидеть их иначе,чем применив сниффер я не мог - служба отключена)
1)[I] Critical system error ! The Windows registry appears to be infected. Please go to Universal Registry Infection Cleaner at [URL="http://www.uric.net"]http://www.uric.net[/URL] to scan and repair system registry[/I]
2)[I] REGISTRY DAMAGED
Your Windows registry is corrupted and needs to be cleaned immediarly
Compromized registry files can lead to the following:
1. Complete access to you PC by hackers
2. Slow speed resul[/I]
3) [I] System has encountered an Internal Error
Your registry is corrupted
We recomend a complete system scan
Visit [URL="http://FixReg32.net"]http://FixReg32.net[/URL] to repair now
FAILURE TO ACT NOW MAI LEAD TO SYSTEM FAILURE! [/I]
Лог в формате tcpdump я прикрепил.
Вывод: все таки зверь есть (ни AVP, ни AVZ, ни BitDefend его не знают), известный он науке или нет - можете проверить сами - сходите по любому адресу и вам там подарят экземпляр :) . Я уже подустал пробовать разные средства и за выходные переставлю систему.
Больше компостировать мозги почтеннейшей публике я не буду :)[/QUOTE]
вот-вот, не надо компостировать мозги. а то начитаются пользователи и устроят панику. это обычный рекламный спам через windows messenger, он приходит ВСЕМ, и это НЕ означает наличие вирусов/троянов на компьютере.
-
[url]http://www.securinfo.ru/HowToSwitchOffWindowsMessenger?v=uqd[/url]
-
Page generated in 0.00208 seconds with 10 queries