MadrabbitZ Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На ноуте с "чистой" ХР, в котором интернет - скайлинк с платным трафиком - поселилась какая-то дрянь и постоянно жрет трафик.   В диспетчере - никаких новых процессов - нету. В автозагрузке и службах - тоже обновление - отрублено нахрен, трафик ест даже при незапущенных браузерах. видно что происходит все это через svchost... Чем можно посмотреть - кто к нему "присосался" и "гадит" ? Всего записей: 2015 | Зарегистр. 26-01-2009 | Отправлено: 03:26 05-09-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MadrabbitZ Цитата: Чем можно посмотреть - кто к нему "присосался" и "гадит" ? используем файрволл.. или netstat или утилиту tcpview ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 04:05 05-09-2009

rem812 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору process explorer Всего записей: 176 | Зарегистр. 24-07-2007 | Отправлено: 16:25 05-09-2009

alp1n3 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AnVir Task Manager или качаем утлиту с SysInternals Всего записей: 27 | Зарегистр. 20-04-2008 | Отправлено: 17:33 05-09-2009

MadrabbitZ Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Проверил свежеобновленными Нодом, ТроянРемувером и Д.Р Вебом - ничего не видят ... tcpview - показывает что эта зараза крутит баннеры (видно как работает "ротатор" по десятку баннеров)   Как найти и убить - напрочь не понятно )   Добавлено: Cheery rem812 alp1n3   Буду пробовать дальше ... Всего записей: 2015 | Зарегистр. 26-01-2009 | Отправлено: 17:47 05-09-2009

velch Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В борьбе с rootkitами, вроде как, дальше всех продвинулся DrWeb с последней версией пятерки. Всего записей: 1245 | Зарегистр. 03-02-2005 | Отправлено: 20:55 05-09-2009

NPC Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: дальше всех продвинулся DrWeb с последней версией пятерки. ну каждый своё пиарит, а я скажу что Kaspersky Internet Security не плох, он бы и ту заразу не пустил Всего записей: 8943 | Зарегистр. 17-02-2005 | Отправлено: 21:04 05-09-2009

NeliyZar Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MadrabbitZ такой дыбильный вопрос))) От Гугля ничего не ставили из утилит? Ну там Декстора или может еще что?))) Ну так... вдруг))) ---------- Женщины и кошки одинаковы: ты только думаешь, что ты ими владеешь.© Мужчины всегда правы, а женщины никогда не ошибаются :) Всего записей: 2587 | Зарегистр. 17-02-2008 | Отправлено: 21:12 05-09-2009

MadrabbitZ Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Жесть какая-то ... Удалил старую версию ДрВеба, нашел и поставил 5.0 ИНТЕРНЕТ ПЕРЕСТАЛ РАБОТАТЬ !!!   Сейчас Куитпост попробую ...   Добавлено: NeliyZar Нет Всего записей: 2015 | Зарегистр. 26-01-2009 | Отправлено: 22:27 05-09-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MadrabbitZ Цитата: tcpview - показывает что эта зараза крутит баннеры какая? как зовут приложение? ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 22:35 05-09-2009

alp1n3 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ну автор же написал svchost.exe... ясно что это руткит, скорее всего подгружается в виде dll-ки (помнится была такая bonjour.dll, типа реклама по собствнному желанию, в обмен на установку приложения), хотя может быть и в памяти или отдельном потоке... Посмотрите, сколько нитей в во "вредном" процессе svchost? а какие dll подгружены?? Если идет хук NtQueryInformation и сокрытие процесса от диспетчеров можно попробовать отловить утилитой Klister (работает только на Win2000), остальные платные ищие сами. Производители антивирусов и файрволов в этом плане отстали от жизни, так как 1 из десятка умеет обнаружить скрытые процессы. Для этого существует только несколько утилит, причем они довольно легко обходятся. Если у вас такой "продвинутый" вирус, могу только предложить самописную прогу по обнаружению процессов путем анализа связанных с ним хэндлов + Kernel Mode detection из двусвязного списка структур EPROCESS... Только сразу вам скажу, затраты того не стоят... Все равно без антивируса удалить не сможете, так что юзайте спец. проги по  рукитам либо советую не морочиться и тупо зарубить баннерообмен в файере     Всего записей: 27 | Зарегистр. 20-04-2008 | Отправлено: 23:39 05-09-2009

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ну автор же написал svchost.exe ну не заметил, сорри     MadrabbitZ скачать утилиту autoruns, запустить, сохранить лог с расширением arn, заархивировать, выложить куда нить и дать ссылку. ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 01:20 06-09-2009 | Исправлено: Cheery, 01:20 06-09-2009

MadrabbitZ Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alp1n3 Самописные проги - это уже наверное лишнее, хотя - спасибо, но не стоит того Cheery Поздно ... я ей уже поковырял самостоятельно, только и успел вчера еще её скачать, как интернет внезапно кончился (опять глюки)   -------------------------------------   Эта дрянь каким-то образом даже файрвол обходила (и Куитпост, и затем - Комодо) А сейчас - как говорится в известном анекдоте - "вендекапец" "отваливается" постоянно драйвер "ская" (переустановки, с чисткой реестра - не помогают) и еще куча каких-то странных тормозов и глюков...   Придется восстанавливать из могучедревнего, годовалой давности образа ... и перетаскивать с машины и обратно кучу инфы и всякой всячины Мда... Надо было Акронисом почаще пользоваться, раз уж виндо-восстановление отключил )   Самое интересное - никак не понять - где я её "словил" ... такую, судя по неуязвимости - исключительно свеженаписанную Не на торрентах же ?! Вот куда оно лезло:   cds174.ion9.msech.net cds28.arn.llnw.net   Добавлено: Самое главное забыл сказать - забить я её похоже все-таки забил, точнее сказать не могу, так как со злости - замочил autoruns несколько подозрительных dll безо всяких подписей (и даже без даты !!!)   И еще чего-то ... ) Теперь ничего в интернет не лезет, но и самому "виндовс" - тоже ... Всего записей: 2015 | Зарегистр. 26-01-2009 | Отправлено: 11:31 06-09-2009

alp1n3 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Попробуйте XoftSpySE Anti-Spyware Одна из лучших программ для обнаружения и удаления шпионских и рекламных модулей.   XoftSpySE Anti-Spyware предназначена для обнаружения и удаления таких вредоносных программ как: Adware, Spyware , W32/Spybot, Malware, Pop-up Generators, Keyloggers, Unwanted Toolbars, CWS, Trojans и Browser Hijackers, Backdoors, BHOs и т.д. Позволяет производить полное сканирование жестких дисков, памяти и системного реестра.   В настройках сканирования можно указать, какой тип шпионского программного обеспечения необходимо искать на компьютере. Кроме этого можно ограничить поиск указанными папками. XoftSpySE Anti-Spyware не только находит разнообразные вредоносные модули, но и предоставляет исчерпывающую информацию о каждом из них. Присутствует возможность работы по расписанию.   Очень высокая скорость сканирования. Большая база данных, свыше 44000 + регулярные обновления, что особенно важно для утилиты, основное предназначение которой заключается в обеспечении безопасности пользователя.   Идеальный вариант - использовать XoftSpySE Anti-Spyware одновременно с Ad-Aware SE, так как она находит и такие модули, которые не может обнаружить Ad-Aware. Ссылка в скрытом тексте Всего записей: 27 | Зарегистр. 20-04-2008 | Отправлено: 14:56 06-09-2009

Pawo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MadrabbitZ посмотрите здесь: http://forum.ixbt.com/topic.cgi?id=7:35021 Windows Update точно отключен? Всего записей: 1105 | Зарегистр. 05-05-2007 | Отправлено: 05:23 07-09-2009 | Исправлено: Pawo, 05:28 07-09-2009

Maza_Faka Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору MadrabbitZ Помнится тоже подцепил похожую заразу, которая тянула всякую вирусню в кэш. Ничем не виделась, так, как внедрилась в системную dll. Вылечил командой sfc /scannow. Попробуйте, может и вам поможет ---------- Купи 5 чебуреков и собери кошку Всего записей: 1420 | Зарегистр. 25-10-2006 | Отправлено: 09:56 07-09-2009

MadrabbitZ Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alp1n3 Pawo Maza_Faka Буду пробовать дальше, видимо надо все-же сначала убить все возможные следы этой заразы. Восстановление системы пока отложил (еще не все нужное перетащил))   Походу она еще и расползается (пытается) по другим дискам. На флэшке, которую втыкал в комп - образовались "автораны". USB секюрити, стоящий на стационарнике - засек и замочил :)))   Добавлено: Обновление - отключено точно ))   Насчет системной dll - врядли, я все-же сумел нарушить работу этой штуки, удалив несколько странных dll без подписей и даже без даты создания (со злости - начал эксперименты) С помощью проги, которую посоветовал Cheery   Тоесть лезть в интернет она перестала (по крайней мере - крутить банеры) Но на флэшку себя пытается поселить (по видимому она) ...   Добавлено: Pawo Залез по ссылке - и сказал "#$% :) llnw.net - получается от Майкрософт ?.... Тогда все запутывается еще больше ...   Но там, кроме приведенных мной адресов - крутилось еще до 10 .... Всего записей: 2015 | Зарегистр. 26-01-2009 | Отправлено: 12:22 07-09-2009

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Какая-то хрень шарит в интернетах и жрет трафик!

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование