Интересно, однако...нужна помощь - Безопасность

jedi2003 · 13.09.2004, 21:23

тут вот какое дело:
один-два дня назад комп начал пытаться присоединится к login.web-bus.net через System (это я по фаерволлу вижу). Причем не по 1 соединению а по сотням...
Поиск в гугле не дал ни одной страницы с сабжем, нортон молчит, нод32 тоже и ad-aware туда же. Самое неприятное что на этот адрес посылаются бесчисленные пакеты, что тормозит инет просто невозможно. Может кто знает что за фигня?
Очень нуждаюсь в помощи!
спасибо!

Cartman · 13.09.2004, 22:04

Что за firewall у тебя стоит? Можешь выяснить какая прога пытается соединиться?

На счет антивирусов тут ляпну. Даже тот же KAV при большом объеме почты тормозит где то на сутки полтора. Т.е. людям приходит почта, они ее открывают, а КАВ через некоторое время начинает орать.
И чтобы не было вопросов - обновляется он раз в час.

jedi2003 · 13.09.2004, 22:08

дело в том, что ничего мне по почте не приходило и ничего я не открывал

firewall - agnitum outpost
какая прога - без понятия, в процессах ничего подозрительного нету

Cartman · 13.09.2004, 22:34

Цитата:

jedi2003:
какая прога - без понятия, в процессах ничего подозрительного нету

Дык outpost может показать что и куда ломится...

jedi2003 · 13.09.2004, 22:45

ломится:
system
mirc.exe (!!!)
point32.exe (это дрова мышинные)
netscp.exe
svchost.exe
полный ахтунг =(

13.09.2004, 23:21

Все login.web-bus.net насамом деле редирект на dearlady.com. Так что это лезет какой-то порно агент. Советую посмотреть run/run once в реестре на наличие всякой дряни.

jedi2003 · 13.09.2004, 23:27

run\run once пусто, кроме icq boot.

13.09.2004, 23:39

А ты сервисы смотрел?

jedi2003 · 13.09.2004, 23:50

все чисто =\

14.09.2004, 00:09

Тады ой

. Последнее что могу посоветовать перелопатить список потоков следующим образом - закрывать все вподряд и смотреть что получится.

jedi2003 · 14.09.2004, 00:20

опа
щас посмотрел у нортона threat history
оказывается он без меня поймал вот что:
Bloodhound.Exploit.6
W32.Spybot.W
Adware.PurityScan.Corm
Backdoor.Sdbot
и по его же утверждениям он все это успешно удалил.

Cartman · 14.09.2004, 09:29

Цитата:

jedi2003:
system
mirc.exe (!!!)
point32.exe (это дрова мышинные)
netscp.exe
svchost.exe

И все это шлет пакеты? Видимо все таки файлы остались заражены.
А может и не вирус, а тулбара какая нибуть рекламная. Лично я в этих случаях просто блокирую адреса в винроуте. Ты это можешь сделать в аутпосте.

jedi2003 · 14.09.2004, 15:03

Еще идеи есть?
ничего покачто не прокатило =(

jedi2003 · 15.09.2004, 05:16

Все еще актуально

совсем не понимаю, что это может быть, покачто спасает только игнор всех этих соединений аутпостом, но это только временная мера =\

*helldomain* · 15.09.2004, 05:38

Fokus zakliuchaetsya w chem: est takoe ponyatie kak "remote inject" - eto kogda nekoe prilojenie wstraiwaet specialno napisannij dinamicheskij modul w uje zapuschennie chujie processi. Pri etom samo prilojenie doljno bit postoyanno w pamyati. Sowetuju wzyat process manager (naprimer sysinternal'owksij) i wnimatelno posmotret na spisok podkliuchennih k etim processam bibliotek.

jedi2003 · 15.09.2004, 20:59

Юзал Process explorer, посмотрел...их ужасно много, в том хаосе определить подозрительного - задача не из легких, а отключать все, кажущиеся подозрительными, гимморно, т.к. практически после каждого вылетает синий экран =\

dominos · 15.09.2004, 23:53

Могу предложить три варианта - поискать строку "login.web-bus.net" во всех файлах на харддиске и в реестре, воспользоваться стартап-менеджером, например Reyslab Advanced StartUp Manager, и воспользоваться коммандой sfc, если ОС позволяет.

jedi2003 · 16.09.2004, 16:38

Вот чего обнаружил:
HKLM\Software\Microsoft\Windows\CurrentVersion
trjdat
trjdate
это чего за зверь...

cmy · 17.09.2004, 21:51

Для начала воспользуйся сервисом Whois и отследи диапазон IP, принадлежащий login.web-bus.net. Потом заблокируй фаером этот диапазон.

Потом в списке процессов посмотри названия одинаковых процессов. Их будет несколько. Посмотри имя пользователя, от которого запущены процессы с одинаковыми именами. При этом важно, чтобы вход был выполнен только одним юзером. Как правило, но не всегда, сторонние процессы маскируются под системные с такими же именами, но запускаются от имени юзера, а не от SYSTEM.

Далее в Total commander или другом файл-менеджере выполни поиск по всему системному диску, но при этом поставь видимыми все скрытые и системные файлы. Критерий - названия файлов, коорые ты нашел в вышеприведенном абзаце. Затем у каждого найденного файла с таким названием смотри его свойства. Все нормальные файлы подписываются, имеют номер версии, производителя и т.д. А вири и трояны никто не подписывает. Причем файлы вирей и троянов имеют атрибут скрытый или системный.

Когда ты выщемишь таким образом подозрительный файл, то сделай поиск опять по всему системному диску файлов, имеющий такую же длину, вплоть до байта. Трояны и вири, как правило, на винте не в единственном экземпляре.

Теперь можешь удалять все найденное. До этого нужно закрыть эти процессы или же для их удаления загрузится в безопасном режиме.

Вроде все. Может что не понятно - пиши.

Partyzan · 11.11.2004, 14:59

Есть еще предложение.

в процесс експлорере посмотри, какая библиотека(одна и та же) встроена в svchost.exe, point32.exe - все те, что ломятся. Потом найди ее на диске, понюхай, оближи. Попробуй отключить, удалить и тп.

13.09.2004, 22:04	# 2
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	Что за firewall у тебя стоит? Можешь выяснить какая прога пытается соединиться? На счет антивирусов тут ляпну. Даже тот же KAV при большом объеме почты тормозит где то на сутки полтора. Т.е. людям приходит почта, они ее открывают, а КАВ через некоторое время начинает орать. И чтобы не было вопросов - обновляется он раз в час. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

15.09.2004, 05:38	# 15
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Fokus zakliuchaetsya w chem: est takoe ponyatie kak "remote inject" - eto kogda nekoe prilojenie wstraiwaet specialno napisannij dinamicheskij modul w uje zapuschennie chujie processi. Pri etom samo prilojenie doljno bit postoyanno w pamyati. Sowetuju wzyat process manager (naprimer sysinternal'owksij) i wnimatelno posmotret na spisok podkliuchennih k etim processam bibliotek. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

13.09.2004, 21:23	# 1
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	Интересно, однако...нужна помощь тут вот какое дело: один-два дня назад комп начал пытаться присоединится к login.web-bus.net через System (это я по фаерволлу вижу). Причем не по 1 соединению а по сотням... Поиск в гугле не дал ни одной страницы с сабжем, нортон молчит, нод32 тоже и ad-aware туда же. Самое неприятное что на этот адрес посылаются бесчисленные пакеты, что тормозит инет просто невозможно. Может кто знает что за фигня? Очень нуждаюсь в помощи! спасибо!

13.09.2004, 22:08	# 3
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	дело в том, что ничего мне по почте не приходило и ничего я не открывал firewall - agnitum outpost какая прога - без понятия, в процессах ничего подозрительного нету

13.09.2004, 22:45	# 5
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	ломится: system mirc.exe (!!!) point32.exe (это дрова мышинные) netscp.exe svchost.exe полный ахтунг =(

13.09.2004, 23:21	# 6
Don Guest Сообщения: n/a	Все login.web-bus.net насамом деле редирект на dearlady.com. Так что это лезет какой-то порно агент. Советую посмотреть run/run once в реестре на наличие всякой дряни.

13.09.2004, 23:27	# 7
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	run\run once пусто, кроме icq boot.

13.09.2004, 23:39	# 8
Don Guest Сообщения: n/a	А ты сервисы смотрел?

13.09.2004, 23:50	# 9
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	все чисто =\

14.09.2004, 00:09	# 10
Don Guest Сообщения: n/a	Тады ой . Последнее что могу посоветовать перелопатить список потоков следующим образом - закрывать все вподряд и смотреть что получится.

14.09.2004, 00:20	# 11
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	опа щас посмотрел у нортона threat history оказывается он без меня поймал вот что: Bloodhound.Exploit.6 W32.Spybot.W Adware.PurityScan.Corm Backdoor.Sdbot и по его же утверждениям он все это успешно удалил.

14.09.2004, 15:03	# 13
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	Еще идеи есть? ничего покачто не прокатило =(

15.09.2004, 05:16	# 14
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	Все еще актуально совсем не понимаю, что это может быть, покачто спасает только игнор всех этих соединений аутпостом, но это только временная мера =\

15.09.2004, 20:59	# 16
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	Юзал Process explorer, посмотрел...их ужасно много, в том хаосе определить подозрительного - задача не из легких, а отключать все, кажущиеся подозрительными, гимморно, т.к. практически после каждого вылетает синий экран =\

15.09.2004, 23:53	# 17
dominos Junior Member Регистрация: 10.02.2003 Сообщения: 96	Могу предложить три варианта - поискать строку "login.web-bus.net" во всех файлах на харддиске и в реестре, воспользоваться стартап-менеджером, например Reyslab Advanced StartUp Manager, и воспользоваться коммандой sfc, если ОС позволяет.

16.09.2004, 16:38	# 18
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	Вот чего обнаружил: HKLM\Software\Microsoft\Windows\CurrentVersion trjdat trjdate это чего за зверь...

17.09.2004, 21:51	# 19
cmy Junior Member Регистрация: 25.10.2003 Адрес: Питер Сообщения: 97	Для начала воспользуйся сервисом Whois и отследи диапазон IP, принадлежащий login.web-bus.net. Потом заблокируй фаером этот диапазон. Потом в списке процессов посмотри названия одинаковых процессов. Их будет несколько. Посмотри имя пользователя, от которого запущены процессы с одинаковыми именами. При этом важно, чтобы вход был выполнен только одним юзером. Как правило, но не всегда, сторонние процессы маскируются под системные с такими же именами, но запускаются от имени юзера, а не от SYSTEM. Далее в Total commander или другом файл-менеджере выполни поиск по всему системному диску, но при этом поставь видимыми все скрытые и системные файлы. Критерий - названия файлов, коорые ты нашел в вышеприведенном абзаце. Затем у каждого найденного файла с таким названием смотри его свойства. Все нормальные файлы подписываются, имеют номер версии, производителя и т.д. А вири и трояны никто не подписывает. Причем файлы вирей и троянов имеют атрибут скрытый или системный. Когда ты выщемишь таким образом подозрительный файл, то сделай поиск опять по всему системному диску файлов, имеющий такую же длину, вплоть до байта. Трояны и вири, как правило, на винте не в единственном экземпляре. Теперь можешь удалять все найденное. До этого нужно закрыть эти процессы или же для их удаления загрузится в безопасном режиме. Вроде все. Может что не понятно - пиши.

11.11.2004, 14:59	# 20
Partyzan Junior Member Регистрация: 06.01.2004 Адрес: Москва Сообщения: 165	Есть еще предложение. в процесс експлорере посмотри, какая библиотека(одна и та же) встроена в svchost.exe, point32.exe - все те, что ломятся. Потом найди ее на диске, понюхай, оближи. Попробуй отключить, удалить и тп.