Приходится подключаться к Вашему форуму в качестве нового пользователя ибо возникли проблемы.
На машине появились непонятные коннекты ftp.exe на разные сайты. И конекты от меня на 445 порт разных айпишноков.
Работа с интернетом тормозит и тп.
После сканирования системы антивирусом был найден Trojan-Downloader.Win32.INService.gen. В одном из файлов, который точно запускался. А также Win32.Backdoor.RBot и подозрение на PROXY-GG Trojan.
После 3 дней борьбы, а именно чистка этой дряни из реестра, установка разных антивирусов и тп подхожу к итогу, что вычистить полностью всю заразу не смогу и нужно переустанавливать систему на 2 машинах (локалка).
Но хотелось бы услышать Ваше мнение и подсказки, может я еще что-то не выполнил, может есть еще шанс не сносить систему.
Вопросы:
1. Как узнать что закачал downloader ?
2. Почему кроме демоверсии программки TrueSword ни один из антивирусов, а именно AVP и Symantec ни на какие вирусы не ругаются ? TrueSword в демоверсии, поэтому не может все излечить.
и тд...
точно знаю что вирусами создаются следующие файлы-процессы:
svcchost.exe
mysvc.exe
loor.pif
wininit32.exe
И удаление всех возможных записей из реестра не останавливает их, через день все записи и файлы вновь появляются.
Так как это происходит на двух компьютерах, то логи прислал с начала с одного. Может этого будет достаточно, чтобы на втором справиться с проблемой.
Очень жду ответа.
С уважением.
Последний раз редактировалось Зайцев Олег; 20.11.2006 в 21:13.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверь компьютер Касперским (6 версия) с расширенными базами.
Настройки -> Категория вредоносного ПО. Ставим галочки напротив всех.
AOL Active Virus Shield v6.0.0308 (Урезанная версия KAV, но и менее тормознутая) берём здесь.
Регистрируем программу здесь. Ключ на 1 год вышлют на e-mail.
FAQs по программе здесь.
Всё что можно вылечить лечим, остальное в карантин.
Возможно, TrueSword сам является malware.
Что бы узнать, что именно происходит с вашим ПК выполните все как описано в правилах.
Последний раз редактировалось Andrey; 20.11.2006 в 20:28.
Именно этим каспером все и проверил, ничего не было найдено, хотя файл svcchost.exe (а это троян) специально оставил болтаться в систем32. После каспера сразу запустил Ad-Aware, которая мигом нашла этот процесс и позволила его убить.
Пока нету ничего, сегодня весь день убил на чистку. Как появиться сразу сброшу.
Вот только к сожалению коннект как с меня на 445 порт идет, так и ко мне пытаются коннектиться на 445. Это вижу по фаерволу.
Служба ftp.exe самопроизвольно пытается кому-то, что-то отправить.
У многих пиратская винда, поэтому SP2 и не ставят Россия.
Надеются авось пронесет и проносит
Проблемы в незащищенности ОС WIndows - заплаты каждый месяц.
Последний раз редактировалось Andrey; 20.11.2006 в 21:35.
1. Они мне с моей пиратской виндой дадут что-то обновлять ? И не рискованно ли так вот пойти туда ?
2. До какого уровня обновляться и что вообще это решит ? Это червей не выгодит, как мне кажется.
Второй сервис пак вышел ой как давно, а у меня проблемы начались после использования одного кряка, до этого используя kerio fierwall я жил абсолютно спокойно. Я вполне понимаю сетевые технологии, поэтому правильно настроить фаер нет проблем. Был момент запустил кряк, потом немного пожил без фаервола, теперь вот и мучаюсь.
Думаете раз в логах ничего не видно, значит только на переустановку винды или на обновление ?
Пока нету ничего, сегодня весь день убил на чистку. Как появиться сразу сброшу.
Вот только к сожалению коннект как с меня на 445 порт идет, так и ко мне пытаются коннектиться на 445. Это вижу по фаерволу.
Служба ftp.exe самопроизвольно пытается кому-то, что-то отправить.
подключения по FTP характерны для внешних атак. через эти подключения к вам пытаются закачать троянов. некоторые IRC-боты (типа Rbot) таким образом пытаются саморазмножаться.
переименуйте (или удалите если сами не пользуетесь) файл ftp.exe и все будет нормально
Сообщение от kDanil
Думаете раз в логах ничего не видно, значит только на переустановку винды или на обновление ?
переустанавливать не надо, а критические фиксы поставить необходимо.
Сообщение от kDanil
1. Как узнать что закачал downloader ?
присылайте трояна - сообщим
Сообщение от kDanil
2. Почему кроме демоверсии программки TrueSword ни один из антивирусов, а именно AVP и Symantec ни на какие вирусы не ругаются ? TrueSword в демоверсии, поэтому не может все излечить.
возможно это ложное срабатывание никому не известного TrueSword'а
подключения по FTP характерны для внешних атак. через эти подключения к вам пытаются закачать троянов. некоторые IRC-боты (типа Rbot) таким образом пытаются саморазмножаться.
В том и проблема, что И ко мне ломятся и мой FTP сам куда-то ломится. Больше беспокоит куда именно мой FTP ломится. Я так понимаю, что это что-то у меня сидит, а не внешняя атака.
В том и проблема, что И ко мне ломятся и мой FTP сам куда-то ломится. Больше беспокоит куда именно мой FTP ломится. Я так понимаю, что это что-то у меня сидит, а не внешняя атака.
Троянов пришлю, как появятся.
MOCT же объяснил уже ... повторю чуть подробнее. Дано: компьютер без Firewall с устаревшей версией XP. В ней есть ряд уязвимостей, которые былы закрыты в SP2 и последующих заплатках (как раз Ваш случай). Где-то в Интернет есть куча зараженных компьютеров, на которых обитают сетевые черви... эти черви пытаются атаковать другие компьютеры и внедриться на них. Делается это так - на атакуемый компьютер посылается специально подготовленный сетевой пакет (или пакеты). Если компьютер уязвим, то в результате обработки этих пакетов возникает сбой и происходит выполнение программного кода, содержащегося в этом сетевом пакете. Код этот маленький по объему и ничего сложного сделать не может - поэтому обычно его работа сводится к запуску ftp.exe или tftp.exe с параметрыми для загрузки на пораженный компьютер самого червя...
Методики защиты:
1. Покупка XP. Тогда появляется возможность устанавливать заплатки по мере их появления без опасения о том, что нарушится левая активация и XP перестанет работать. В худшем случае можно купить в любом ларьке XP SP2 ... Далее стоит переименовать ftp.exe скажем в _ftp.exe, а tftp.exe - в _tftp.exe. Это нейтрализует большинство эксплоитов ...
2. Установка и настройка Firewall. Для начала годится встроенный в XP SP2, его уже достаточно для защиты от атак червей такого типа. Но лучше - установить Firewall посерьезнее - большинство современных Firewall кроме всего прочего умеют детектировать и блокировать сетевые атаки и эксплоиты (так называемая IDS - система детектирования атак).
3. Нужно выкинуть TrueSword. Что это вообще за антивирус/антишпион - я как-то тестировал антишпионов, про такого никогда не слышал. А вот в компании Symantec слышали - это зловред, который якобы ищет заразу на компьютере: http://www.symantec.com/security_res...062816-5804-99
пришлите его согласно правилам для анализа, посмотрим, что это за зверь (а еще лучше - пришлите ссылку на его дистрибутив или сам дистрибутив, если он небольшой)
Нашел его случайно. когда в гугле по loor.pif искал.
По XP буду думать, в принципе есть HOME Edition лицензионная, но не знаю насколько она урезана по сравнению с Prof.
ftp переименую.
По фаерволам:
Использовал Atguard - не знал горя, потом перешел на Kerio Personal Firewall 2.5 тоже все устраивало.
Теперь есть необходимость на одной машите NAT прикрутить и хочется чтобы фаервол работал одновременно. Но используя WinRouter нельзя одновременно использовать Ни один из перечисленных фаерволов, они конфликтуют. С виндовым ICS такая же беда. Конечно нет проблем установить какой-либо софт для обеспечения NAT, но нужно чтобы одновременно работал какой-то фаервол с функционалом в котором не нужно прописывать конкретные роуты, а нужно чтобы как atguard или kerio 2.5 всплывали окошки с уведомлением, что такая-то программа хочет туда-то....
Вот и пришлось установить Kerio 5, там нат поддерживается, но фаервол руками прописывать роуты нужно, что видимо и привело к появлению червей, так как на все не пропишешь, особенно при моем использовании сети, когда и игры играются и сайты пишутся и что только не делается.
Последний раз редактировалось anton_dr; 22.11.2006 в 07:06.
Уважаемый(ая) kDanil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Trojan-Downloader.Win32.INService.gen
Сообщение от Andrey
Россия.
