Раз в третий уже цепляю эту гадость. Тенденция пока очень грустная. В прошлые разы мне тут так и не помогли. Поискал по инету. Такие же случаи как у меня случаются - нигде не было найдено решение =(. В лучшем случае проблема пропадала сама собой (возможно временно).
Итак симптомы:
* Исходящий трафик приближается к входящему, примерно 66-100% от объёма входящего.
* Исходящий трафик растёт только во время сетевой активности и не зависит от приложения и порта (Opera HTTP, Opera FTP, Far FTP, AVZ Update, Outpost Update, т.д.)
* ИМХО отвалились низкоуровненые драйвера Deamon Tools и превратились в неизвестные устройства. ИМХО троян перехватывает низкоуровненые файловые операции. Прибил остатки Deamon Tools руками.
* Регулярно якобы из Opera, avz, svchost (по журналу Outpost'a) идут UDP-пакеты на DNS-сервер провайдера. Прочитавши про некую DNS уязвимость отключил службу DNS клиента. Ничего не изменилось.
* Outpost в настройках сети узлом подсети называет адрес 87.20.14.128. В настройках сети (TCP/IP) стоит адрес шлюза 87.20.14.129. Это разве не одно и тоже?
* Приходят IGMP пакеты с моего же ip-адреса. Блокируются Outpost'м.
* Перестало работать цифровое телевидение от провайдера
да, вот ещё
антивирус Касперского ничего не нашёл
DrWeb нашёл:
HTpatch.exe C:\Distrib\Drivers\Motherboard\Asus P4SGX-MX\AGP 1.14\AGP\htpatch Tool.Htpatch
Startup.exe C:\Games\Gears of War\Binaries Adware.MDH.7
На Virus Total не подтвердилось (детектит только один Dr.Web)
Тут появилась мысля: А может быть я это из нашей сетки или нашего FTP-сервера (софт и игры качаю оттуда) подхватил?
ПОМОЖИТЕ ЛЮДИ ДОБРЫЕ-Е-Е!
Может быть есть прога - спец по троянам?
[moderated: virusinfo_cure.zip - карантин, присылается в соответствии с приложением 3 правил]
Последний раз редактировалось Shu_b; 21.05.2008 в 09:09.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да оно и раньше не было =(
Всё пока идёт по старой схеме. Также как и год назад.
а что не так с моим virusinfo_cure.zip? что означает:
[moderated: virusinfo_cure.zip - карантин, присылается в соответствии с приложением 3 правил] ?
virusinfo_cure.zip это карантин в который АВЗ помещает подозрительные файлы, а лог, который нам необходим называется virusinfo_syscure.zip
совсем слепой стал... извините. Так этого файла у меня почему то вообще нет. Гм... кажется во время его сбора так какойто казус произошёл. В логе была красная строчка про какие то anti-rootkit проблемы. Что-то там не срослось... Я думал по логам будет видно. А логов то и не случилось...
И что теперь делать?
Добавлено через 21 минуту
Да вот ещё...
С утра Outpost сделал новое правило на основе предустановок для svchost.exe, потом пошли какие то пакеты (думаю microsoft.update) после чего комп потух по жёсткой схеме и перезагрузился =(
Последний раз редактировалось A4'; 21.05.2008 в 11:25.
Причина: Добавлено
совсем слепой стал... извините. Так этого файла у меня почему то вообще нет. Гм... кажется во время его сбора так какойто казус произошёл. В логе была красная строчка про какие то anti-rootkit проблемы. Что-то там не срослось... Я думал по логам будет видно. А логов то и не случилось...
И что теперь делать?
это из за того что забыли оутпост из памяти выгрузить
это из за того что забыли оутпост из памяти выгрузить
Напутал малёхо... Действительно, так всё и было. Я подумал, что проблема в оутпосте, прервал сканирование, выгрузил оутпост и повторил. А вот ругался ли avz во второй раз не помню уже... видимо не ругался. Но файла то нет... Возможно ли что троян блокирует создание-закрытие этого файла?
Добавлено через 12 минут
Вот ещё... комп у меня то новый (диск старый). WinXP ставилась недавно и прог и драйверов установленных пока немного (например дрова планшета ещё не успел поставить). Может быть мне проще не тратить своё и ваше время на поиски (на диске куча всяких файлов, около 200 гигов, сканирование отнимает 1,5 - 2 часа), а просто поставить винду заново? Только есть подозрение что будет рецедив... Потому как год назад у меня эта ситуация уже была. Переставил систему - а зверь остался. Правда тогда я папку Windows не убивал и реестр тоже.
Добавлено через 2 минуты
Ну так что же? Не родился ещё тот богатырь, который мне помочь может и гадину на куски порубить?
Последний раз редактировалось A4'; 21.05.2008 в 18:03.
Причина: Добавлено
Уважаемый(ая) A4', наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: