Модем что то качает со страшной силой
 

При подключении модем что то качает со страшной силой до 12 кБ/сек, минут за 15 ему удается выкачать до 10 метров,
XP SP1 и XP SP1а.
Anti-Trojan 5.5 ,PC DoorGuard 3,Aluria's SpyWare Eliminator ни чего не находят.Попробовал включить ХР файрвол, вот такой лог, ни хрена не понятно.

попробуй поставить Нортон Персонал Фаерволл - всё наглядно покажет..

Какая то хрень www.poppaid.com ломится в комп, отрубил ее с помощью Outpost Firewall Pro 1.0, но где она засела так и не понял.

BigRoad
Пошурши в реестре

Издание Ad-aware Standard является отмеченной наградами, бесплатной* утилитой для обнаружения и удаления множественных компонентов, которая является лидером в данной области в отношении безопасности, удовлетворения пользователей, поддержки и надежности. возьми бесплатно и проверь свой комп на закладки врагов

A mojet eto prosto apdeitiki kachajutsya ;-)))? Prower antivirusom i adaware.

В реестре пошуршал нашел одну папку www.popaid.com, замочил естественно, но Outpost Firewall Pro постоянно блокирует это соединенее да так что проц грузится на 50 %, при чем приложение запрашивающее соединение называется system.exe . Поиск продолжается. Ad-aware качаю.

Ubei process system.exe w task managere i sotri naf.

helldomain, замочил процесс все стало нормально, и что теперь каждый раз так делать?

Teper naidi w sisteme etot fail i udali ego naf.

BigRoad
ili poishi ego cherez msconfig i tam ego otklyuchi (start-up ili services)

Nu, woobsche startowat process mojno iz servisow, papki startup, iz registry HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_USER iz SOFTWARE\Microsoft\CurrentVersion\Run ili (w 95/98/ME) RunServices. Inogda biwajut i izwraschenci - dopustim registrirujut COM server i perepisiwajut odin iz standartnih COM'ow na swoi GUID. No eto uje krainosti.

helldomain
v xp oni vse budut pod msconfig... pravda mojzno obojti dopustim zastaviv progu prikinutsa novym zhelezom naprimer ili nazvat' ee kernel32_.dll (nu kto takoe potret? :) )

Ya potru. Normalnij kernel ot poddelki ya otlichu. Ne perejiwai. Gi.

System.exe мочу но это до первой перезагрузки, она его снова создает, Ad-aware 6 и Steganos AntiVirus с последней базой ни хрена не находят. Война продолжается.

Xex. Znachit est eshe odin process ili komanda ego sozdajushaya. Prosmotri wnimatelno chto zapuskaetsya wmeste s sistemoi i chto w servisah lishnego est.

BigRoad
poishi ego cherez start->search na HD

Нахожу его легко, в system32, убиваю процесс, удаляю system.exe, в реестре так же все вычищаю, но он вновь создается даже не дождавшись перезагрузки.
Может есть у кого желание посмотреть что у него внутри?, могу скинуть на мыло .

Похоже временно выход найден. system.exe переименовать в system.txt , открыть в блокноте,попортить все что можно путем удаление текста, затем переименовать обратно и положить на место. Сейчас он запускается но ни куда не просится.

Там есть вот такая строчка, может кто знает что она значит : KERNEL32.DLL ADVAPI32.dll MFC42.DLL MSVCRT.dll SHELL32.dll USER32.dll WS2_32.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey exit ShellExecuteA SetTimer

Логический вывод-а не время ли синхронизируется? (ShellExecuteA SetTimer
)

Net. Logicheskj wiwod ne veren. Eto stroka importow funkcij iz bibliotek. Ono importiruet LoadLibrary() i GetProcAddress() i slishkom malo ostalnih funkcij. Ni odnoi iz WSOCK32 ili WS2_32, chto pokaziwaet na dinamicheskuju zagruzku ili na to, chto fail sjat packerami ili code safe.

BigRoad
в msconfig посмотри все процессы которые не microsoft и убивай незнакомые(махимум их всегда можно там-же вкл. обратно)
k stati ty proboval ego iskat' cherez start->run->regedit->CTRL+F->system.exe ?

Все ищется, все убивается легко, точно так же и восстанавливается. Поставил Нортона с последним абдейтом тот нашел этот system.exe, и в придачу internet.exe, убивает их десятками но они по прежнему востанавливаются. Да к стати в офисе одна тачка что в интернет лазает(а всего их две) поймала такую же хрень, вторая при попытке войти в интернет заболела такой же ерундой. Я психанул снес все нахер поставил XP(стоял W2K), подцепил ее к домену, после перезагрузки смотрю те же яйца в тот же профиль. Здается что по локалке эта хрень то же размножается при условие что тачки заходят в интернет, (у кого нет доступа, и проблем нет). Война продолжается, у кого есть мысли на этот счет пожалуйста не стесняйтесь их высказывать. Честно говоря я в отчаение, подумываю снести бы всю эту сеть нахрен да установить заново, но истина важнеею. SOS!!!!!!!!!!!!!!!!!!!

BigRoad
poprobuj na kazhdom kompe na seti:
1. otkluchi set' (provod)
2. zagruzis' pod "safe mode"
3. ubej process "system.exe" esli est'
4. skaniruj cherez NAV ALL files na kompe
5. ne vkluchaj komp v set' poka ne ochistish vse ostal'nye kompyutery na seti

u tebya skoree vsego chto-to pohozhee na eto :
link
voobshe posmotri tam bazu dannyh, chto nahodit norton?
posle togo kak vse sdelaesh kin' pozhalujsta syuda post kak i chto poluchilos'/ne poluchilos'

Что-то у вас зело все сложно! Это winUpdate стучит мелкомягким и тянет оттуда апдейты. Решается просто - зайти в свойства сервиса Automatic Update и сказать "Disabled".

Znaesh, ono obichno wnizu okolo chasikow pokaziwaet, chto apdeiti tyanet...

SinClaus
na baze symantec est' ochen' bol'shoj spisok troyanov sozdayushih system.exe... ili i tam vse slozhno? pochitaj ee kak-to....

может эта зараза?

Докладываю. Вопрос решился таким способом. Пришлось разорвать всю сеть повытаскивать все винты, на нормальной машине пройтись по ним Касперским, убить всю заразу в том числе и Rrundll.exe. (на серваке в том числе) .После этого закинуть Rundll.exe из дистрибутива. Сервак и все тачки чувствуют себя нормально, всем спасибо за помощь.

А что Касперский поймал? Серьёзное?

В частности Rundll был заражен TrojanDownloader.Win32.Slime.b и DDoS.Win32.Resod а так же был обнаружен Trojan.PSW.MiniLD.b

Мда..С троянами вас! :)

Mdas, nashel s chem pozdrawit.

А что? Успел же поймать..А то так и сидел бы,с троянами..

Bednie troyanci. Ih poimali.

Отвечу просто - ГЫ :)

Vagus
ty tak ne otvechaj, u hella est' copyrights na eto sochetanie... eshe den'gi potrebuet :))) Gi :)))

Interesnaya misl kstati ;-))). Nado poprobowat. $0.5 za odno upotreblenie slowa "Gi" na forume IMHO i glyadish, w skorom wremeni stanu millionerom - nazowem proekt GImho.Ws.

helldomain
гы гы - с меня ван доллар...

helldomain
насколько я помню ета мысль проскальзывала где-то :))), к тому-же сразу пираты появятса.... будут исп. анонимный прохы для исп. слов из ценника... а вот и он:

Gi-0.5$ (skidka :))) tol'ko dlya yuzerov gimho.ws )
Ugu-1.5$
Igik-2$
Xgiig-2.5$

po pol dollara za bukvu :)), pravdo prijdetsa EULA pisat'...:))
надо будет так-же в правила написать: за исп. слов из ценника не по закону пожизненый бан через способы перечисленные в топе о летучих мышках:))
газ VX,нейтронная бомба посланная по емаил,напалм... :)))

для исп. слов как демо надо будет писать:
Demo Gi :)))