Помогите новичку!
pg33
Новичок
6/2/2007, 3:11:25 PM
Всем привет! Помогите начинающему пользователю! Завелась в машине какая-то гадина, которая при создании соединения с интернетом начинает с бешенной скоростью что-то отсылать. Тем самым нещадно изничтожать деньги драгоценные. Компьютер проверил Авастом,НОДом32,Симантеком.Какие-то черви обнаруженные и тряны были удаленны, но всё осталось как и было.Может сталкивались с этим! Надеюсь на помощь знатоков!!! Заранее всем спасибо!
-=Велла=-
Акула пера
6/2/2007, 4:29:38 PM
Сталкивались-сталкивались...
Если через модем сидишь, что попроруй просто пересоздать соединение (сомневаюсь, что поможет)...
А так... переставь винду.. я тоже как-то башку ломала-ломала себе.. в итоге проще было просто переставить винду и не мучаться... А вообще можно, конечно, поставить программу, типа Сниффер какой-нить и посмотреть какой процесс и куда отправляет.
Если через модем сидишь, что попроруй просто пересоздать соединение (сомневаюсь, что поможет)...
А так... переставь винду.. я тоже как-то башку ломала-ломала себе.. в итоге проще было просто переставить винду и не мучаться... А вообще можно, конечно, поставить программу, типа Сниффер какой-нить и посмотреть какой процесс и куда отправляет.
barrakuda
Профессионал
6/2/2007, 4:33:42 PM
(-=Велла=- @ 02.06.2007 - время: 12:29) Сталкивались-сталкивались...
Если через модем сидишь, что попроруй просто пересоздать соединение (сомневаюсь, что поможет)...
А так... переставь винду.. я тоже как-то башку ломала-ломала себе.. в итоге проще было просто переставить винду и не мучаться... А вообще можно, конечно, поставить программу, типа Сниффер какой-нить и посмотреть какой процесс и куда отправляет.
Да, так проще, потому что напустив уйму вирусов и не имея собственного опыта удаления их справится с ними сложно.
Велла, зачем сниффер? Набираем в командной строке netstat -a -n -o 4
Если через модем сидишь, что попроруй просто пересоздать соединение (сомневаюсь, что поможет)...
А так... переставь винду.. я тоже как-то башку ломала-ломала себе.. в итоге проще было просто переставить винду и не мучаться... А вообще можно, конечно, поставить программу, типа Сниффер какой-нить и посмотреть какой процесс и куда отправляет.
Да, так проще, потому что напустив уйму вирусов и не имея собственного опыта удаления их справится с ними сложно.
Велла, зачем сниффер? Набираем в командной строке netstat -a -n -o 4
-=Велла=-
Акула пера
6/2/2007, 4:43:17 PM
А снифер красивее 
Люблю кофморт и ясность...
А ловить вирусы.. ну не мое это.. Тем более дома.. чо там делать, винда за 4 минуты заливается, а я мучалась тогда с неделю...
Вот, если на работе такая беда приключицца, тогда придецца ломать голову... И то, наверное, винду переставить быстрей будет :)
Люблю кофморт и ясность...А ловить вирусы.. ну не мое это.. Тем более дома.. чо там делать, винда за 4 минуты заливается, а я мучалась тогда с неделю...
Вот, если на работе такая беда приключицца, тогда придецца ломать голову... И то, наверное, винду переставить быстрей будет :)
maxdiversexnarod1
Специалист
6/2/2007, 4:56:58 PM
pg33
Покажи лучше список всех процессов. Возможно, что тупая тварь не умеет скрывать себя :)
И покажи автозагрузку в реестре.
Покажи лучше список всех процессов. Возможно, что тупая тварь не умеет скрывать себя :)
И покажи автозагрузку в реестре.
barrakuda
Профессионал
6/2/2007, 5:00:01 PM
Написано же пользователь начинающий, а ты ему про автозагрузку в реестре
Merciless
Новичок
6/2/2007, 5:34:25 PM
можно фаер хороший поставить и проследить, если не нашёл гада а лезет сама система(надобно чтоб фаер родителя писал), значит виндовский свшуст троян прописался то на майкрософте лежит заплатка которая дыру закрывает и свшуст переписывает
maxdiversexnarod1
Специалист
6/2/2007, 10:06:24 PM
Вот накидал прогу, определяет автозагрузки и запущенные процессы (даже 2 способами - а то некоторые вирусы защищаются только от одного).
Просьба pg33 запустить эту программу и выложить сюда результаты. Дизайна просьба не пугаться, от 5 КБ большего и не нужно ожидать
P.S. Блин, exe нельзя загружать, переименовал в TXT. Естественно, после скачивания нужно сменить расширение обратно
Просьба pg33 запустить эту программу и выложить сюда результаты. Дизайна просьба не пугаться, от 5 КБ большего и не нужно ожидать
P.S. Блин, exe нельзя загружать, переименовал в TXT. Естественно, после скачивания нужно сменить расширение обратно
maxdiversexnarod1
Специалист
6/2/2007, 10:11:14 PM
Подумал, мож кому интересно:
исходники проги.
исходники проги.
-=Велла=-
Акула пера
6/2/2007, 10:16:44 PM
(Merciless @ 02.06.2007 - время: 13:34) можно фаер хороший поставить и проследить, если не нашёл гада а лезет сама система(надобно чтоб фаер родителя писал), значит виндовский свшуст троян прописался то на майкрософте лежит заплатка которая дыру закрывает и свшуст переписывает
вот как я не люблю вот таких вот "умников"...
слова выучили новые для себя слэнговые и швыряются ими во все дыры... "свшуст", "заплатка", "дыры".. хорошо хоть слово Макйкрософт правильно написано..
*злая*
вот как я не люблю вот таких вот "умников"...
слова выучили новые для себя слэнговые и швыряются ими во все дыры... "свшуст", "заплатка", "дыры".. хорошо хоть слово Макйкрософт правильно написано..
*злая*
barrakuda
Профессионал
6/3/2007, 2:27:02 AM
(-=Велла=- @ 02.06.2007 - время: 18:16) и швыряются ими во все дыры...
Это как?
Max, а не проще было, если уж на то пошло, ссылку на hijackthis дать?
Уже в одном топике так делали и одну адварь отловили
Хотя исходники это всегда интересно
Это как?
Max, а не проще было, если уж на то пошло, ссылку на hijackthis дать?
Уже в одном топике так делали и одну адварь отловили
Хотя исходники это всегда интересно
barrakuda
Профессионал
6/3/2007, 2:30:51 AM
(Merciless @ 02.06.2007 - время: 13:34) значит виндовский свшуст троян прописался то на майкрософте лежит заплатка которая дыру закрывает и свшуст переписывает
А что это за СВШУСТ такой? Мне уже страшно..
А что это за СВШУСТ такой? Мне уже страшно..
maxdiversexnarod1
Специалист
6/3/2007, 4:12:30 AM
barrakuda
Мы не ищем легких путей
Зачем юзать какие-то чужие hijackthis'ы, если можно написать свою?
Тем более там и делать-то нечего. 99,9% вирусов найти можно, просто получив список процессов. Если этот список выдернуть их системы откуда-нибудь поглубже, куда вирус не смог добраться - и список готов. А дальше - опытный юзер сразу отличит вирусный процесс/дллку от системной.
Мы не ищем легких путей
Зачем юзать какие-то чужие hijackthis'ы, если можно написать свою?
Тем более там и делать-то нечего. 99,9% вирусов найти можно, просто получив список процессов. Если этот список выдернуть их системы откуда-нибудь поглубже, куда вирус не смог добраться - и список готов. А дальше - опытный юзер сразу отличит вирусный процесс/дллку от системной.
shworker
Специалист
6/3/2007, 5:39:54 AM
Бывает зараза, которая прячется от Task Manager путем DLL Injection (внедрение DLL в процессы), а также устанавливающие себя как расширение к Explorer (Проводник). Так как они есть всего лишь DLL, а не EXE файлы, Task Manager их не видит. Увидеть можно например в FAR с плагином "Process List". Он покажет список DLL, использующихся процессом. Также может помочь Process Explorer от Sysinternals.
pg33
Новичок
6/6/2007, 9:08:12 PM
netstat -a -n -o 4 А что это? Что она дает, эта строка.
-=Велла=-
Акула пера
6/6/2007, 9:31:03 PM
Делаешь так..
Пуск - Выполнить - вводдишь в строке команду cmd, нажимаешь Enter
Появляется Командная строка.. вводишь туда эту комнаду и получаешь то, что сказал JeyLo ниже, пока я писала этот пост
Пуск - Выполнить - вводдишь в строке команду cmd, нажимаешь Enter
Появляется Командная строка.. вводишь туда эту комнаду и получаешь то, что сказал JeyLo ниже, пока я писала этот пост
DELETED
Акула пера
6/6/2007, 9:31:21 PM
(pg33 @ 06.06.2007 - время: 17:08) netstat -a -n -o 4 А что это? Что она дает, эта строка.
Список всех активных соединений с указанием PID процесса, адреса и порта в десятичной форме с обновлением каждые четыре секунды.
Список всех активных соединений с указанием PID процесса, адреса и порта в десятичной форме с обновлением каждые четыре секунды.
barrakuda
Профессионал
6/6/2007, 10:16:29 PM
Тут полезнее другая команда: кнопка Пуск -> Выполнить
в окне командной строки ввести msconfig
в появившемся окошке выбрать вкладку Автозагрузка.
Так можно просмотреть список программ, которые автоматически загружаются при старте системы. Возможно, среди них будет и вирус. Просто снимите галку рядом с названием программы. Или, в крайнем случае, нажмите кнопку "Отключить все". Эта программа учитывает не все способы автозагрузки, но можно попробовать.
А вобще, выше была дана ссылка товарищем MaxdiverSxn, попробуйте запустить эту прогу, скопировать результаты, которые она покажет и выложить их здесь.
в окне командной строки ввести msconfig
в появившемся окошке выбрать вкладку Автозагрузка.
Так можно просмотреть список программ, которые автоматически загружаются при старте системы. Возможно, среди них будет и вирус. Просто снимите галку рядом с названием программы. Или, в крайнем случае, нажмите кнопку "Отключить все". Эта программа учитывает не все способы автозагрузки, но можно попробовать.
А вобще, выше была дана ссылка товарищем MaxdiverSxn, попробуйте запустить эту прогу, скопировать результаты, которые она покажет и выложить их здесь.
barrakuda
Профессионал
6/6/2007, 10:37:45 PM
pq33, скачайте эту программу: https://z-oleg.com/avz4.zip
она заархивирована, распакуйте в любом месте и запустите файл avz.exe Это известная антивирусная утилита для чистки и анализа системы. В меню программы выберите: Файл -> Исследование системы, появится окошко, в котором нажмите кнопку Пуск и выберите куда сохранить отчёт, который сгенерирует прога.
Этот отчёт(файл с именем avz_sysinfo.htm) покажите нам, а мы уже постараемся помочь, обладая нужной информацией
она заархивирована, распакуйте в любом месте и запустите файл avz.exe Это известная антивирусная утилита для чистки и анализа системы. В меню программы выберите: Файл -> Исследование системы, появится окошко, в котором нажмите кнопку Пуск и выберите куда сохранить отчёт, который сгенерирует прога.
Этот отчёт(файл с именем avz_sysinfo.htm) покажите нам, а мы уже постараемся помочь, обладая нужной информацией
SG1525
Любитель
2/7/2008, 1:13:24 AM
pg33 просто переставь винду, потому что все исправить наверное у тебя неполучится, а если и получится то на это уйдет масса времени (хотя в исправлении есть свой плюс - ты многое поймешь и научишься справляться с этой проблеммой), я вот например когда поймал последнего своего трояна несмог с ним справиться, просто убил примерно 36 часов проведенных за компом невылезая, но так и пришлось переставиться и все проблеммы решились.