-
Загадочный троян
Товарищи, доброго времени суток! Примерно 5 дней назад сижу за компом, вылез в нет. Ну как обычно. Потом все проги(Magent,Qip,Opera..., все перестают видеть нет, то есть подключение есть, а проги не видят. На следующий день попросил у знакомого каспа, поставил, касп нашел трояна backdoor.win32.ircbot.a, вылечил трояна, кстати там еще в реестре было..ну на newvirus я лог каспа отсылал, при следующей же попытке вылезти в нет, на следующий день, та же проблема, касп задетектил backdoor.win32.rbot.gen, причем каждый раз имена файлов и папки в которых они лежали были разные, были еще зараженные файлы драйверов в system32, все удалил, потом это все повторялось несколько раз, ессно я подумал что на компе у меня мон стоит и отсылает ип либо это широкая нет атака. Думаю черт с ним, полностью все снес, загрузочный сектор проверил,поставил англ. ось, на нее все апдейты за последние 2 года, 150 метров, залез на сайт мелкософта, обновился по полной, поставил аутпост последний, проверил все настройки, каспа с самыми свежими базами, обрубил фаер у каспа, все инсталил с проверенных годами дисков, никаких картинок не запускал(намек на Shell), все перепроверил, сижу жду. Никуда не лажу, через 5 минут аутпост выдает ошибку журнала с просьбой восстановить БД, и опять все проги перестают видеть нет. Что касается сейчас, то внезапно перезагружается раза 3 за вечер комп, аутпост детектирует странные проги, ломящиеся в сеть, периодически сыпется опера и фирефокс. А главное мне интересно, так как это атака целенаправленная, хотя и не уверен, но кому надо меня атаковать, ведь с каждой атакой новый вирус, и вполне возможно что в базах его нету у каспа, вот и спрашивается что это и как это прекратить.
И вообще подозрение на magent. Помогите. Спасибо.
Последний раз редактировалось XPEHOMOP; 26.05.2006 в 16:45.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Сообщение от
XPEHOMOP
залез на сайт мелкософта, обновился по полной, поставил аутпост последний
По-моему Вы здесь порядок нарушили: Если Вы без СП2 (кстати ХР у Вас?) и файрволла в сеть пошли, то с высокой вероятностью получили новую заразу.
Поступите в точности, как в ссылочке Geser'a написано.
-
-
XPEHOMOP, Здравстуйте, логи хотелось бы посмотреть, согласно Правилам Данного Форума.
-
-
-
-
В логах всё чисто.
На данный момент всё что могу посоветовать, так это зайти сюда http://virusinfo.info/showthread.php?t=2502 и пойти по ссылкам раздела "Проверить Фаервол" посмотреть что стенка работает как нужно.
На всякий случай можно прислать нам, как написано в правилах файлы:
C:\WINDOWS\system32\NVRSRU.DLL
C:\WINDOWS\system32\WgaLogon.dll
C:\WINDOWS\system32\DRIVERS\saa713x.sys
-