Показано с 1 по 10 из 10.

Похоже на заразу... Но где ?... (заявка № 5592)

  1. #1
    stanislav.l
    Guest

    Похоже на заразу... Но где ?...

    Hi, All кто разбирается в животных.
    Есть странности ... Утверждать наверняка, что на диске кто-то живет, в данную минуту не могу...
    Описание проблемы -
    Излагаю по порядку...
    Недели может 3, а может месяц назад, неожиданно nod32 сказал, что не может обновить базу из-за неверного логина/пароля. После ввода пароля ручками - обновил. Но автоматическое обновление с этого момента не работало - сообщение о неправильном пароле.
    Несколько дней так прошло, я удивлялся, но выводов не делал, а потом вдруг наткнулся на "Диспетчер задач отключен администратором". "Ага!" - смекнул Штирлиц ... Но после включения его взад ручками, снова он не отключался.
    Ни один из антивирусов нифига не нашел. Сгоряча я снес под корень несколько программок, на которые упало подозрение. (Собственно, я под виндой не работаю - это скорей испытательный полигон, потому и бардак) Но фигня с паролем для nod32 продолжалась.
    Стал внимательно следить за траффиком - обнаружил некий ленивый обмен, который не смог идентифицировать (с десяток килобайт записал). Причем этот обмен возникал не сразу после загрузки, а через какое-то время, довольно значительное. Если машину загрузить и не трогать - обмена нет. Да, в какой-то момент мне "повезло" - увидел как некий прцесс с каким-то дурацким названием типа "системная задача" (?) открыл сокет на несколько секунд и опять закрыл.
    Несколько дней я не мог выбрать время чтоб заняться этой проблемой, просто не грузил винду. Наконец собрался - и не обнаруживаю никаких признаков деятельности животного.... Обмена нет, nod32 обновляется... Но я ничего больше не делал. Чтоб зараза вылечилась сама - верится слабо....
    Систему эту мне не жалко, все равно пора переустановить , но беспокоит меня то, что источник "странностей" так и не был обнаружен, а значит я с большой вероятностью на него нарвусь опять.
    Кто-нибудь может мне чего умного посоветовать ?
    Вложения Вложения
    Последний раз редактировалось anton_dr; 29.05.2006 в 08:02.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от stanislav.l
    Кто-нибудь может мне чего умного посоветовать ?
    в логах ничего особого не заметно. единственная просьба - прислать для изучения файлы
    F:\WINDOWS\system\dri-VIRUS\ntuser.e
    F:\Program Files\Eset\pr_imon.dll

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Ну, видимо для начала нужно прислать файлы
    F:\WINDOWS\system\dri-VIRUS\ntuser.e
    F:\Program Files\Eset\pr_imon.dll (этот для коллекции безопасных)
    f:\program files\mozilla.org\mozilla\mozilla.exe (налогично)

    А в остальном на первый взгляд чисто. Возможно, что "зверь" самоликвидировался, такое сейчас часто бывает - набезобразит и испарится. В частности, подобные вещи Hoax программы делают и некоторые Trojan-PSW (последний пароли соберет, передаст и ему по сути делать на ПК уже нечего).

  5. #4
    stanislav.l
    Guest
    Закачал.
    Что касается ntuser.e - это да, это зараза, но старая ; он назывался F:\WINDOWS\system\drivers\ntuser.exe , я не стал его убивать исключительно ради контроля антивирусов В смысле - чтоб испугаться, если они вдруг перестанут его находить

    Т.е. я пару дней подожду (вдруг еще какие файлы понадобятся?), а потом переставлю все.
    Пардон, а на будущее: если ли какие-нибудь программы, которые просто писали бы в лог основные файловые операции (типа создание, удаление, переименование) и операции записи в реестр, с целью последующего разбора полетов ? Можете что-нибудь посоветовать ?

    Спасибо.
    Последний раз редактировалось stanislav.l; 29.05.2006 в 12:39.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от stanislav.l
    В смысле - чтоб испугаться, если они вдруг перестанут его находить
    а они его находили?

    Complete scanning result of "ntuser.e", received in VirusTotal at 05.29.2006, 11:00:53 (CET).

    Antivirus Version Update Result
    AntiVir 6.34.1.34 05.29.2006 BDS/Iroffer.14b2.B
    Authentium 4.93.8 05.28.2006 W32/Backdoor.HVJ
    Avast 4.6.695.0 05.26.2006 Win32:Trojano-1333
    AVG 386 05.28.2006 BackDoor.Generic.URF
    BitDefender 7.2 05.29.2006 Backdoor.Irc.Elmer.A
    CAT-QuickHeal 8.00 05.27.2006 no virus found
    ClamAV devel-20060426 05.29.2006 no virus found
    DrWeb 4.33 05.29.2006 BackDoor.IRC.Elmer
    eTrust-InoculateIT 23.72.20 05.28.2006 no virus found
    eTrust-Vet 12.6.2232 05.29.2006 Win32/Identdhack.A
    Ewido 3.5 05.29.2006 no virus found
    Fortinet 2.77.0.0 05.29.2006 W32/CPB.A!tr.bdr
    F-Prot 3.16c 05.28.2006 security risk named W32/Backdoor.HVJ
    Ikarus 0.2.65.0 05.28.2006 Backdoor.Win32.Noer
    Kaspersky 4.0.2.24 05.29.2006 no virus found
    McAfee 4771 05.26.2006 BackDoor-CPB
    Microsoft 1.1441 05.29.2006 no virus found
    NOD32v2 1.1563 05.28.2006 no virus found
    Norman 5.90.17 05.29.2006 no virus found
    Panda 9.0.0.4 05.28.2006 Bck/Zapchast.BB
    Sophos 4.05.0 05.29.2006 no virus found
    Symantec 8.0 05.29.2006 no virus found
    TheHacker 5.9.8.149 05.26.2006 Trojan/Small
    UNA 1.83 05.26.2006 Backdoor.Noer
    VBA32 3.11.0 05.28.2006 BackDoor.Noer

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @stanislav.l
    я не стал его убивать исключительно ради контроля антивирусов
    Зачем жеж так круто: для этого есть http://eicar.org/anti_virus_test_file.htm

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от stanislav.l
    Закачал.
    Что касается ntuser.e - это да, это зараза, но старая ; он назывался F:\WINDOWS\system\drivers\ntuser.exe , я не стал его убивать исключительно ради контроля антивирусов В смысле - чтоб испугаться, если они вдруг перестанут его находить

    Т.е. я пару дней подожду (вдруг еще какие файлы понадобятся?), а потом переставлю все.
    Пардон, а на будущее: если ли какие-нибудь программы, которые просто писали бы в лог основные файловые операции (типа создание, удаление, переименование) и операции записи в реестр, с целью последующего разбора полетов ? Можете что-нибудь посоветовать ?

    Спасибо.
    Для разбора полетов очень хорошо ревизор применить, типа Kaspersky Inspector или Adinf32. Достоинство ревизора в том, что он в памяти постоянно не висит, но в любой момент можно посмотреть, что в системе изменилось относительно некоторого опорного снимка. Это свойство особо ценно тогда, когда некий зверь угробит операционку насмерть - базы ревизора при этом могут уцелеть и помочь в разборке ...

  9. #8
    stanislav.l
    Guest
    Цитата Сообщение от Shu_b
    а они его находили?

    ...
    NOD32v2 1.1563 05.28.2006 no virus found
    Хм... Уел, причем качественно ! Действительно ведь - не находит ...
    Но я совершенно уверен, что нашел его именно nod32 ... Блин, давно было, не помню на 100% ...

    Выходит, нод "испортился" ? И я не обратил внимания ...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Ревизоры за реестром не следят, только за файлами. Adinf32 еще и руткиты, что мне попадались, видел.

    filemon и regmon с sysinternals.com пишут все, но они малопригодны для постоянного контроля.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Alexey P.
    Ревизоры за реестром не следят, только за файлами. Adinf32 еще и руткиты, что мне попадались, видел.

    filemon и regmon с sysinternals.com пишут все, но они малопригодны для постоянного контроля.
    Kaspersky Inspector следит за реестром. Т.е. он конечно в первую очередь ревизор диска, но отслеживает основные ключи реестра и соответственно их модификацию. Очень удобно для слежения за ключами автозапуска (но он не все изменения в реестре фиксирует и я не помню, можно ли это настроить)

  • Уважаемый(ая) stanislav.l, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на заразу
      От Lyis в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.01.2010, 13:48
    2. заразу удалил
      От danko в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 23.12.2009, 23:44
    3. антивирь молчит, но чую заразу.
      От uncle roma в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.11.2008, 23:01
    4. Похоже поймали ещё одну заразу
      От Monolith в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.10.2008, 09:32
    5. Подозрение на заразу
      От vd7 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.07.2008, 21:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00893 seconds with 20 queries