Интересно, однако...нужна помощь

[jedi2003]

тут вот какое дело:
один-два дня назад комп начал пытаться присоединится к login.web-bus.net через System (это я по фаерволлу вижу). Причем не по 1 соединению а по сотням...
Поиск в гугле не дал ни одной страницы с сабжем, нортон молчит, нод32 тоже и ad-aware туда же. Самое неприятное что на этот адрес посылаются бесчисленные пакеты, что тормозит инет просто невозможно. Может кто знает что за фигня?
Очень нуждаюсь в помощи!
спасибо!

[Cartman]

Что за firewall у тебя стоит? Можешь выяснить какая прога пытается соединиться?

На счет антивирусов тут ляпну. Даже тот же KAV при большом объеме почты тормозит где то на сутки полтора. Т.е. людям приходит почта, они ее открывают, а КАВ через некоторое время начинает орать.
И чтобы не было вопросов - обновляется он раз в час.

[jedi2003]

дело в том, что ничего мне по почте не приходило и ничего я не открывал
firewall - agnitum outpost
какая прога - без понятия, в процессах ничего подозрительного нету

[Cartman]

Цитата:

jedi2003:
какая прога - без понятия, в процессах ничего подозрительного нету

Дык outpost может показать что и куда ломится...

[jedi2003]

ломится:
system
mirc.exe (!!!)
point32.exe (это дрова мышинные)
netscp.exe
svchost.exe
полный ахтунг =(

Все login.web-bus.net насамом деле редирект на dearlady.com. Так что это лезет какой-то порно агент. Советую посмотреть run/run once в реестре на наличие всякой дряни.

[jedi2003]

run\run once пусто, кроме icq boot.

А ты сервисы смотрел?

[jedi2003]

все чисто =\

Тады ой . Последнее что могу посоветовать перелопатить список потоков следующим образом - закрывать все вподряд и смотреть что получится.

[jedi2003]

опа
щас посмотрел у нортона threat history
оказывается он без меня поймал вот что:
Bloodhound.Exploit.6
W32.Spybot.W
Adware.PurityScan.Corm
Backdoor.Sdbot
и по его же утверждениям он все это успешно удалил.

[Cartman]

Цитата:

jedi2003:
system
mirc.exe (!!!)
point32.exe (это дрова мышинные)
netscp.exe
svchost.exe

И все это шлет пакеты? Видимо все таки файлы остались заражены.
А может и не вирус, а тулбара какая нибуть рекламная. Лично я в этих случаях просто блокирую адреса в винроуте. Ты это можешь сделать в аутпосте.

[jedi2003]

Еще идеи есть?
ничего покачто не прокатило =(

[jedi2003]

Все еще актуально
совсем не понимаю, что это может быть, покачто спасает только игнор всех этих соединений аутпостом, но это только временная мера =\

[helldomain]

Fokus zakliuchaetsya w chem: est takoe ponyatie kak "remote inject" - eto kogda nekoe prilojenie wstraiwaet specialno napisannij dinamicheskij modul w uje zapuschennie chujie processi. Pri etom samo prilojenie doljno bit postoyanno w pamyati. Sowetuju wzyat process manager (naprimer sysinternal'owksij) i wnimatelno posmotret na spisok podkliuchennih k etim processam bibliotek.

[jedi2003]

Юзал Process explorer, посмотрел...их ужасно много, в том хаосе определить подозрительного - задача не из легких, а отключать все, кажущиеся подозрительными, гимморно, т.к. практически после каждого вылетает синий экран =\

[dominos]

Могу предложить три варианта - поискать строку "login.web-bus.net" во всех файлах на харддиске и в реестре, воспользоваться стартап-менеджером, например Reyslab Advanced StartUp Manager, и воспользоваться коммандой sfc, если ОС позволяет.

[jedi2003]

Вот чего обнаружил:
HKLM\Software\Microsoft\Windows\CurrentVersion
trjdat
trjdate
это чего за зверь...

[cmy]

Для начала воспользуйся сервисом Whois и отследи диапазон IP, принадлежащий login.web-bus.net. Потом заблокируй фаером этот диапазон.

Потом в списке процессов посмотри названия одинаковых процессов. Их будет несколько. Посмотри имя пользователя, от которого запущены процессы с одинаковыми именами. При этом важно, чтобы вход был выполнен только одним юзером. Как правило, но не всегда, сторонние процессы маскируются под системные с такими же именами, но запускаются от имени юзера, а не от SYSTEM.

Далее в Total commander или другом файл-менеджере выполни поиск по всему системному диску, но при этом поставь видимыми все скрытые и системные файлы. Критерий - названия файлов, коорые ты нашел в вышеприведенном абзаце. Затем у каждого найденного файла с таким названием смотри его свойства. Все нормальные файлы подписываются, имеют номер версии, производителя и т.д. А вири и трояны никто не подписывает. Причем файлы вирей и троянов имеют атрибут скрытый или системный.

Когда ты выщемишь таким образом подозрительный файл, то сделай поиск опять по всему системному диску файлов, имеющий такую же длину, вплоть до байта. Трояны и вири, как правило, на винте не в единственном экземпляре.

Теперь можешь удалять все найденное. До этого нужно закрыть эти процессы или же для их удаления загрузится в безопасном режиме.

Вроде все. Может что не понятно - пиши.

[Partyzan]

Есть еще предложение.

в процесс експлорере посмотри, какая библиотека(одна и та же) встроена в svchost.exe, point32.exe - все те, что ломятся. Потом найди ее на диске, понюхай, оближи. Попробуй отключить, удалить и тп.