Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Вт Авг 10 2004 08:42 Заголовок сообщения: Не могу поймать вируса |
|
|
Вчера увидел что один комп регулярно ломится NATом на ip 62.205.167.133 через 445 порт. порелся в логах и оказалось что он лезет туда уже две недели в 23:00 каждый день
У юзера стоит XP, пробовал лечить касперским и нортоном , ни чего не нашол
подскажите ктонить чё за хрень и как с ней боротся.
З/Ы заранее благодарен |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Вт Авг 10 2004 08:53 Заголовок сообщения: |
|
|
это судя по всему не вирус, а троян, или бекдор, специально написанный ради этого случая.
единственный вариант - это ставить на машину какой-нибудь карманный firewall и смотреть что за приложение ломится туда.
потом посмотреть на всякий случай что какие у него родительские процессы (хотя навряд-ли) злые ХаЦкеРЫ потрудились переписать одну из дефолтных dll.
а потом вычистить эту гадину из реестра....
а дальше... начинается самое интересное.
whois ruleZ!=)
звонишь в CORBINA TELECOM(это адрес из их пула) (или пишешь письмо, если ты не из москвы), связываешься с их саппортом и сливаешь всю имеющуюся инфу...
репрессии последуют. 100%.=)))) _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Вт Авг 10 2004 09:10 Заголовок сообщения: |
|
|
DumanTapah писал(а): |
единственный вариант - это ставить на машину какой-нибудь карманный firewall и смотреть что за приложение ломится туда.
потом посмотреть на всякий случай что какие у него родительские процессы |
поставил, Эта с..ка постоянно лезит из разных мест и процессы постоянно меняются
а откуда он взялся я догадоваюсь: nalog.1co.ru-это пишет firewall каойто налоговый сайт(красиво замаскирован ) а '1co.ru' сайт какойто интернет компании
комп стоит какраз у бугалтера который занимается налогами |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Вт Авг 10 2004 09:54 Заголовок сообщения: |
|
|
DumanTapah писал(а): |
звонишь в CORBINA TELECOM(это адрес из их пула) (или пишешь письмо, если ты не из москвы), связываешься с их саппортом и сливаешь всю имеющуюся инфу...
репрессии последуют. 100%.=)))) |
А они тут при чем; я сижу в ростове на дону и подключен к другому провайдеру |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Авг 10 2004 10:20 Заголовок сообщения: |
|
|
Да нет. Все правильно.
Сайт nalog.ru валяется в дауне.
А эта фирма делала сайт для налоговой. И сейчас их же хостит.
Мне только вот не понятна проблема. Кто-то лезет снаружи или твоя машина бомбит кого-то? |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Вт Авг 10 2004 13:32 Заголовок сообщения: |
|
|
and3008 писал(а): |
Мне только вот не понятна проблема. Кто-то лезет снаружи или твоя машина бомбит кого-то? |
Моя машина пингует этот ip а потом от туда чтото получает |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Авг 10 2004 14:09 Заголовок сообщения: |
|
|
445 порт горячо любим многими троянцами и вирусами.
Не плохо было бы увидеть список процессов, запущенных на этой загадочной машине. |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Вт Авг 10 2004 15:18 Заголовок сообщения: |
|
|
svhost.exe
avpm.exe
avpcc.exe
spoolsv.exe
svhost.exe local
svhost.exe network
explorer.exe
smc.exe
svhost--два раза
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
system.exe |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Авг 10 2004 16:04 Заголовок сообщения: |
|
|
И все? Не верю! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Вт Авг 10 2004 16:31 Заголовок сообщения: |
|
|
svhost
spoplsv
svhost
svhost
cifmon
explorer
smc
svhost
svhost
lsass
services
winlogon
csrss
smss
msmsgs
system
и усё
Последний раз редактировалось: mirniy (Ср Авг 11 2004 07:45), всего редактировалось 1 раз |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Авг 10 2004 18:25 Заголовок сообщения: |
|
|
А чего не запустил Doom-3, Acrobat, Excel, несколько копий Ворда?
Всяко прикольней искать, когда процессов много. Блин! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Авг 10 2004 18:32 Заголовок сообщения: |
|
|
Поясняю.
Вирусы не показывают ярлык, значки и иконки на рабочем столе.
Выгрузи на фиг все очевидное. А уж потом гляди кто остался. |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 07:47 Заголовок сообщения: |
|
|
ну ты же сам сказал что не вериш!!!
я там сверху подправил, посмотри! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Авг 11 2004 08:26 Заголовок сообщения: |
|
|
Из всего вышеперечисленного интересует только cifmon
Не ясно кто это.
Я бы поставил на машину Сетевой монитор и поглядел бы трафик. Чтоже там такое посылается... |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 08:31 Заголовок сообщения: |
|
|
кстати, а ты не пробовал вот эту софтинку:
Trojan Remover v.6.2.8 можно тут (3,2 Мб, Shareware, Windows All):
http://www.simplysup.com/download/trj628.exe
возможно поможет. самому пользоваться не приходилось, но от людей слышал о ней лестные отзывы... _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 08:41 Заголовок сообщения: |
|
|
кстати, а ты не пробовал вот эту софтинку:
Trojan Remover v.6.2.8 можно тут (3,2 Мб, Shareware, Windows All):
http://www.simplysup.com/download/trj628.exe
возможно поможет. самому пользоваться не приходилось, но от людей слышал о ней лестные отзывы... _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 08:41 Заголовок сообщения: |
|
|
DumanTapah писал(а): | кстати, а ты не пробовал вот эту софтинку:
Trojan Remover v.6.2.8 можно тут (3,2 Мб, Shareware, Windows All):
http://www.simplysup.com/download/trj628.exe
возможно поможет. самому пользоваться не приходилось, но от людей слышал о ней лестные отзывы... |
Пробовал v6.0.3 -не помогла |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 08:41 Заголовок сообщения: |
|
|
кстати, а ты не пробовал вот эту софтинку:
Trojan Remover v.6.2.8 можно тут (3,2 Мб, Shareware, Windows All):
http://www.simplysup.com/download/trj628.exe
возможно поможет. самому пользоваться не приходилось, но от людей слышал о ней лестные отзывы... _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 08:42 Заголовок сообщения: |
|
|
DumanTapah писал(а): | кстати, а ты не пробовал вот эту софтинку:
Trojan Remover v.6.2.8 можно тут (3,2 Мб, Shareware, Windows All):
http://www.simplysup.com/download/trj628.exe
возможно поможет. самому пользоваться не приходилось, но от людей слышал о ней лестные отзывы... |
Пробовал v6.0.3 -не помогла |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 08:44 Заголовок сообщения: |
|
|
to all: извиняюсь, за флуд. то-ли у меня с утра руки дрожат, то-ли форум сглюкавил...
=) _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 09:01 Заголовок сообщения: |
|
|
позванил я вчера супорту из CORBINA TELECOM.
меня там очень вежливо послали, сказали твой троян ты и разбирайся |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Авг 11 2004 09:25 Заголовок сообщения: |
|
|
and3008 писал(а): | Из всего вышеперечисленного интересует только cifmon
Не ясно кто это. |
По-моему, все ясно - это какая-то зараза, типа шпиёна. Лично я ее всегда убиваю, когда у людей появляется. На сколько помню, частенько с Gater'ом поставляется.
Вопрошавшему:
Погляди сам в реестре (эта гадость именно там прописывается, а не в автозагрузке) и вычисти, чем всякие "ремуверы" ставить сразу. _________________ Удачи! |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 09:43 Заголовок сообщения: |
|
|
to mirniy: =( херовый, однако, саппорт у Корбины... , а , казалось бы, такая серьезная контора....
по поводу процесса ctfmon.exe :
http://support.microsoft.com/default.aspx?kbid=282599
так что ничуть это не троян... во всяком случае изначально...
слушай, а каким образом все это началось? в смысле какой-то софт поставили или что? _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Авг 11 2004 09:46 Заголовок сообщения: |
|
|
Сервис был написан как "сifmon" - возможно автор ошибся... _________________ Удачи! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 09:50 Заголовок сообщения: |
|
|
Алекс писал(а): |
Сервис был написан как "сifmon" - возможно автор ошибся... |
мой косяк не догледел извиняюсь |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 09:50 Заголовок сообщения: |
|
|
или наоборот... это чудо имеет название созвучное с одним из реальных процессов. тогда все значительно упрощается!=) _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 10:06 Заголовок сообщения: |
|
|
меня заинтересовал косяк с их DNS-ом
т.е если набрать nalog.1co.ru -появится налоговый сайт а ели 62.205.167.113 то невозможно образиь страницу
ПОЧЕМУ??? |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 10:11 Заголовок сообщения: |
|
|
=)))
все ОЧЕНЬ просто! потому что nalog.1co.ru - это 62.205.167.133, а вовсе не 62.205.167.113.=)))))
будь внимательнее.=) _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
Mozes
Зарегистрирован: 11.07.2004 Сообщения: 13
|
Добавлено: Ср Авг 11 2004 10:19 Заголовок сообщения: |
|
|
Если имеется троян либо, какой то еще червь, то он обязательно должен прописаться в system.ini и win.ini . |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 10:23 Заголовок сообщения: |
|
|
А что значит (Under Construction
The site you were trying to reach does not currently have a default page. It may be in the process of being upgraded. ) |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Ср Авг 11 2004 10:32 Заголовок сообщения: |
|
|
Mozes писал(а): | Если имеется троян либо, какой то еще червь, то он обязательно должен прописаться в system.ini и win.ini . |
вот содержимое этих файлов:
system.ini:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app866.FON
EGA80WOA.FON=EGA80866.FON
EGA40WOA.FON=EGA40866.FON
CGA80WOA.FON=CGA80866.FON
CGA40WOA.FON=CGA40866.FON
win.ini:
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
ivf=MPEGVideo2
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmp=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo |
|
Вернуться к началу |
|
|
DumanTapah
Зарегистрирован: 05.12.2003 Сообщения: 363 Откуда: S-Pb
|
Добавлено: Ср Авг 11 2004 10:55 Заголовок сообщения: |
|
|
mirniy писал(а): | А что значит (Under Construction
The site you were trying to reach does not currently have a default page. It may be in the process of being upgraded. ) |
это значит, что на 80м порту висит какой-то сервис. либо это http сервер у которого не прописана index.htm, либо какой-то другой сервис, по какой-то причине сидящий на стандартном для http порту. _________________ Vivere militari est! |
|
Вернуться к началу |
|
|
Santa Claus
Зарегистрирован: 09.08.2004 Сообщения: 9 Откуда: Cuba
|
Добавлено: Ср Авг 11 2004 12:35 Заголовок сообщения: Re: Не могу поймать вируса |
|
|
mirniy писал(а): | У юзера стоит XP, пробовал лечить касперским и нортоном , ни чего не нашол
|
1. грузись в safe mode.
2. смотри процессы, сервисы и драйвера.
3. смотри что у тебя в автозагрузке. Можно этим
AutoStart Control (http://wave.prohosting.com/ascxp/)
или этим
AutoRuns (http://www.sysinternals.com)
4. пройдись еще раз антивирусами
5. пройдись Lava Soft Ad-aware
6. если не помогло смотри какой процесс и куда ломится этим:
Tcpview (http://www.sysinternals.com) |
|
Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004 Сообщения: 270
|
Добавлено: Пт Авг 13 2004 17:14 Заголовок сообщения: |
|
|
Извините что долго молчал был напряг с инетом
обнаружил что етот троян запускает процесс svchost PID 960
продолжаю копать |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Сб Авг 14 2004 14:49 Заголовок сообщения: |
|
|
mirniy писал(а): | А что значит (Under Construction
The site you were trying to reach does not currently have a default page. It may be in the process of being upgraded. ) |
это значит что этот сайт в стадии разработке и у него нет страницы по умолчанию. |
|
Вернуться к началу |
|
|
|