помогите опознать и удалить заразу
по какому-то событию (НЕ сразу после включения компа) начинает ломиться в интернет и забивает весь канал... пока не заметил, с компа отослалось 350Мб спама, потом прикрыл на сервере выход с этой машины, пролечил cureit!'ом - вроде притихло... сегодня открыл доступ, смотрю - опять ломанулось (лезет много куда на 25ые порты)... прикрыл нафиг, и понял, что одним вэбом тут не обойтись... часть удалил AVZ'ой, часть - hijackthis... так что файлов немного больше... и решил написать вам...
заранее спасибо за содействие
ps: в базу spamcop.net уже добавили... :о(
Последний раз редактировалось Warwar; 02.02.2007 в 18:00.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Один троян обнаружиился.
C:\WINDOWS\system32\rpcc.dll
Остальные файлы в проверке
ага... значит я его правильно удалил... и AVZ на него ругался изначально...
ждут дальше...
вопрос: как эта зараза вообще могла на комп попасть? пользователь работает только в САПР + смотрит погоду на гисметео (на десктопе линк), мужику 65лет, врят ли он стал бы где-то еще лазить... хотя, кто знает %)
если не сильно заняты, можно в двух словах принцип работы? эта ерунда управляется по сети и базы рассылок и, собсно, самих писем получает постоянно? или оно хранит все на диске? можно ли "вычислить" управляющий компьютер и просто заблокировать доступ его в свою сеть? таким образом даже если кто-то заразится, массовой рассылки можно избежать... или у него какой-то более хитрый механизм работы?
если не сильно заняты, можно в двух словах принцип работы? эта ерунда управляется по сети и базы рассылок и, собсно, самих писем получает постоянно? или оно хранит все на диске? можно ли "вычислить" управляющий компьютер и просто заблокировать доступ его в свою сеть? таким образом даже если кто-то заразится, массовой рассылки можно избежать... или у него какой-то более хитрый механизм работы?
Не в курсе как конкретно этот троян работает.
c:\windows\explorer.exe действительно патченый его нужно заменить на чистый, потом удалить
C:\Program Files\Common Files\dbmio32.dll
C:\WINDOWS\system32\rpcc.dll
если они опять появятся.
Не в курсе как конкретно этот троян работает.
c:\windows\explorer.exe действительно патченый его нужно заменить на чистый, потом удалить
C:\Program Files\Common Files\dbmio32.dll
C:\WINDOWS\system32\rpcc.dll
если они опять появятся.
огромное спасибо... буду бороться дальше )
если не сложно, объясните как выудить из дистрибута чистый эксплорер?.. я как-то больше по 98ой... в XP не сильно знаю...
огромное спасибо... буду бороться дальше )
если не сложно, объясните как выудить из дистрибута чистый эксплорер?.. я как-то больше по 98ой... в XP не сильно знаю...
Если есть фирменный диск Microsoft с виндой - можно выполнить команду Sfc /scannow она сама выудит нужный файл, если нет - ищите в каталоге файл explorer.ex_ потом распакйте файл - expand explorer.ex_
Если есть фирменный диск Microsoft с виндой - можно выполнить команду Sfc /scannow она сама выудит нужный файл, если нет - ищите в каталоге файл explorer.ex_ потом распакйте файл - expand explorer.ex_
а можете в общих чертах объяснить, как определяется степень зараженности того или иного файла?.. неужели прямо полным реверс-инжиниригом? или есть какие-то экспресс-тесты?.. интерес не пустой... хочется понять, что бы а) потом не задавать лишних вопросов, б) помочь кому-то попавшему в подобную ситуацию...
как я уже понял, вэб почему-то не сильно хорошо справляется с подобными вещами.. :о/
а можете в общих чертах объяснить, как определяется степень зараженности того или иного файла?.. неужели прямо полным реверс-инжиниригом? или есть какие-то экспресс-тесты?..
Самый простой вариант - залить подозреваемого на www.virustotal.com, из представленных на нем полутора десятков антивирусов есть шанс что у кого-то подозреваемый уже есть в базе.
Для исполняемых файлов на сайте Norman есть Sandbox, можно закачать к ним, качество этого "автомата" весьма среднее, но с простым трояном он разобраться способен.
Самый простой вариант - залить подозреваемого на www.virustotal.com, из представленных на нем полутора десятков антивирусов есть шанс что у кого-то подозреваемый уже есть в базе.
Для исполняемых файлов на сайте Norman есть Sandbox, можно закачать к ним, качество этого "автомата" весьма среднее, но с простым трояном он разобраться способен.
а если эти все ребята сказали, что все ОК, то что?
Уважаемый(ая) Warwar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: