Поймал каких-то троянов - при нахождении в Инете идет отправка информации (netstat-n.png - результат команды netstat -n, netstat-a.png - результат команды netstat -a). Проверил частично систему DrWeb'ом (все папки, которые использовались за последнее время + диск С полностью) - нашел 3 архива с 13-ю вирусами (vir01.png). Удалил. Но троянчик жив, уже успел пробраться куда-то.. В реестре в hkey_local_machine и hkey_current_user в run, runonce и runonceex ничего нет (кроме стандартных ctfmon.exe и т.п.
HijackThis ничего подозрительного (на мой взгляд) не показывает (лог-айл).
Сейчас качаю vbz, посмотрю что он скажет...
Скрины и лог hijackthis находятся здесь: www.aleksey3.net.ru/vir (прошу прощения, что в таком виде, у меня очпень медленный и жутко дорогой инет, надеюсь, вы не сильно рассердитесь ).
upd: командой netstat -b также не удается выявить источник.. в лучшем случае пишет "--неизвестный процесс--"
ps: посоветуйте хороший и простой в настройке файервол..
Последний раз редактировалось Alex39_rus; 18.03.2006 в 04:05.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверил скриптами AVZ - при подключении к Инету открыто много портов, причем это происходит сразу же как запускаю IE. Даже если его потом закрыть - подключения останутся..
Проверил скриптами AVZ - при подключении к Инету открыто много портов, причем это происходит сразу же как запускаю IE. Даже если его потом закрыть - подключения останутся..
ps: Far, cd slow - 100% не трояны
Для начала согласно правилам нужно прислать файл C:\WINDOWS\system\ctldlg32.dll
system32\DRIVERS\basic2.sys
system32\DRIVERS\v124nt.sys
Скорее всего проблема именно в ctldlg32.dll ... остальные два драйвера не значатся в моих базах данных, интересно на них посмотреть
У C:\WINDOWS\system\ctldlg32.dll дата создания 11.03.2006 - это когда я подцепил эту заразу. Указанные файлы прикрепляю в архивах с паролем virus. Эти же файлы отправил в лабораторию DrWeb.
Сделаю как говорите и, как только смогу подключиться к инету - выложу новые логи.
Спасибо!
Кстати, что он делает? Случайно не спам рассылает через меня? Или что-то у меня ворует?
ps: system32\DRIVERS\v124nt.sys не вмещается на форуме. выложил по вышеуказанной ссылке (в первом сообщении).
Последний раз редактировалось RiC; 18.03.2006 в 22:25.
Исчез, хвостов тоже не наблюдается.
Ещё я бы рекомендовал заглянуть в этот топик и подобрать себе что-нибуть по вкусу
Так-же желательно регулярно посещать http://windowsupdate.microsoft.com как минимум поставить вот эту заплатку.
(Список полезных заплаток ещё можно найти здесь)
PS: На будующее - попрошу заразу больше на форум не выкладывать
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: