Как завалить эту кучу троянов? - Безопасность

MaximBa · 30.10.2003, 17:54

Вчера попал в руки ноутбук от знакомых, типа, "что-то тормозит, наверное, вирус!".

Симптомы были такие: 70-80% CPU съедал svchost. Если его через диспетчер задач убить, то система (Win XP) отрубается через 1 мин (обычное незакрываемое окно). Постоянно запрашиваются соединения на 2 левых адреса.

Что было: за день перед этим ноутбук втыкался где-то в локалку. Антивирусов, есессно, не стояло на нем, не говоря о стенке.

Что пробовал (ставил и запускал):
Dr. Web -- ставится, но при скане памяти виснет,
Norton -- ставится, не запускается в принципе,
F-prot под DOS -- ничего не нашел (память/реестр/диски),
Stop! -- ничего не нашел,
NOD 32 -- пусто,
Anti Trojan -- НАХОДИТ 3-4 червя (WinCrash, Blaster 5 и еще что-то), но быстро убивается системой, сделать ничего не успевает;
AHE -- ничего не нашел.

Что прикольно:
при безопасной загрузке Win все в порядке (Anti Trojan говорит, что все чисто).

Может, кто знает, как справиться с такой штучкой малыми жертвами?

30.10.2003, 19:22

MaximBa
Первое, что пришло в голову - посмотри в реестре, что автоматом грузится.... Шансы, конечно, малы, но все-таки...

Bore · 30.10.2003, 19:41

Согласен, первое это start up.
потом отключи System restore (на My computer/properties/System restore - поставь галку)
А потом в и-нет, на поиски описания вирусов что уже нашел, и ручками вычищать с харда и регистра! желаю удачи

MaximBa · 30.10.2003, 22:28

Про реестр я превым делом подумал. Смотрел с помощью j16 -- ничего лишнего. Adware тоже ничего не обнаружил. Reinstall!!!

спасибо за советы

Bore · 31.10.2003, 11:29

Adaware и Jv16 тут не помогут, они не предназначены для поиска вирусов. Надо смотреть описание вирусов, какие файлы кидают на хард, где прописываются в регистре, и ручками, ручками всё удалять!

ShooTer · 31.10.2003, 13:23

При безопасной загрузике и не будет практически ничего грузится.Потому болшое количество драйверов не загружается.
В следуший раз переустанавливай систему.

MaximBa · 31.10.2003, 14:46

Как же может быть, что при проверке диска и реестра антивирусами/антитроянами ничего нет, а при запуске служб, отвечающих за сеть и выполнение удаленных процедур все вдруг есть?

ShooTer · 31.10.2003, 18:57

MaximBa
Ситуация такова:
1.Вирусы бывают прозрачными для поисковых програм.
2.Некотрые Антивирусы подзревают некоторые службы вирусами,потому и реагируют.
3.Вирусы активируются после активирования етих служб.

31.10.2003, 19:07

ShooTer
Вспомнил тут... по 2-му пункту Касперский на пне-166 кричал, что заражено... 'simm-память' =)

MaximBa
Я немного не то имел в виду... Посмотреть, что в реестре во всех разделах, начинающихся на Run надо было первым делом....
Ну да ладно, теперь уж поздно =))

MaximBa · 31.10.2003, 19:11

ShooTer
Видимо так и есть. Во всяком случае, перестановка помогла. Добавил второй аутпост, нод и анти-троян. ПОсмотрим, что из этого выйдет

Спасибо за ответ!

Добавлено через 1 минуту:
sasa001
А разве jv16 в разделе Реестр/Автозагрузка показывает не все Runы? А ято радовался

01.11.2003, 20:23

postav kaspersky 4.5 monitor ego virubit!
a esli net to reboot > safe mode > scan

ShooTer · 03.11.2003, 00:08

MaximBa
Рад был помочь.

de(m)net · 03.11.2003, 00:22

MaximBa
Зайди в сервайсес - дабл клик на стоке Remote Procedure Call (RPC) - в закладке "востановление" измени в строках:
первый сбой:перезагрузка компьютера
второй сбой:перезагрузка компьютера
последующие сбои:перезагрузка компьютера
на: "перезапуск службы"

после этого сбрасывая vchost перезагрузки небудет.

просмотри сайт там есть все, что тебе необходимо.
Удачи

MaximBa · 03.11.2003, 11:31

damned
Спасибо! Вот то, что нужно! 5 баллов.

30.10.2003, 17:54	# 1
MaximBa Newbie Регистрация: 30.10.2003 Адрес: Тут пока сижу Сообщения: 29	Как завалить эту кучу троянов? Вчера попал в руки ноутбук от знакомых, типа, "что-то тормозит, наверное, вирус!". Симптомы были такие: 70-80% CPU съедал svchost. Если его через диспетчер задач убить, то система (Win XP) отрубается через 1 мин (обычное незакрываемое окно). Постоянно запрашиваются соединения на 2 левых адреса. Что было: за день перед этим ноутбук втыкался где-то в локалку. Антивирусов, есессно, не стояло на нем, не говоря о стенке. Что пробовал (ставил и запускал): Dr. Web -- ставится, но при скане памяти виснет, Norton -- ставится, не запускается в принципе, F-prot под DOS -- ничего не нашел (память/реестр/диски), Stop! -- ничего не нашел, NOD 32 -- пусто, Anti Trojan -- НАХОДИТ 3-4 червя (WinCrash, Blaster 5 и еще что-то), но быстро убивается системой, сделать ничего не успевает; AHE -- ничего не нашел. Что прикольно: при безопасной загрузке Win все в порядке (Anti Trojan говорит, что все чисто). Может, кто знает, как справиться с такой штучкой малыми жертвами?

30.10.2003, 22:28	# 4
MaximBa Newbie Регистрация: 30.10.2003 Адрес: Тут пока сижу Сообщения: 29	Про реестр я превым делом подумал. Смотрел с помощью j16 -- ничего лишнего. Adware тоже ничего не обнаружил. Reinstall!!! спасибо за советы __________________ Кесарю -- кесарево, а слесарю -- слесарево!

31.10.2003, 13:23	# 6
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	При безопасной загрузике и не будет практически ничего грузится.Потому болшое количество драйверов не загружается. В следуший раз переустанавливай систему. __________________ "That vulnerability is completely theoretical."

31.10.2003, 14:46	# 7
MaximBa Newbie Регистрация: 30.10.2003 Адрес: Тут пока сижу Сообщения: 29	Как же может быть, что при проверке диска и реестра антивирусами/антитроянами ничего нет, а при запуске служб, отвечающих за сеть и выполнение удаленных процедур все вдруг есть? __________________ Кесарю -- кесарево, а слесарю -- слесарево!

31.10.2003, 18:57	# 8
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	MaximBa Ситуация такова: 1.Вирусы бывают прозрачными для поисковых програм. 2.Некотрые Антивирусы подзревают некоторые службы вирусами,потому и реагируют. 3.Вирусы активируются после активирования етих служб. __________________ "That vulnerability is completely theoretical."

30.10.2003, 19:22	# 2
sasa001 Guest Сообщения: n/a	MaximBa Первое, что пришло в голову - посмотри в реестре, что автоматом грузится.... Шансы, конечно, малы, но все-таки...

30.10.2003, 19:41	# 3
Bore Junior Member Регистрация: 24.02.2002 Адрес: Riga Пол: Male Сообщения: 137	Согласен, первое это start up. потом отключи System restore (на My computer/properties/System restore - поставь галку) А потом в и-нет, на поиски описания вирусов что уже нашел, и ручками вычищать с харда и регистра! желаю удачи

31.10.2003, 11:29	# 5
Bore Junior Member Регистрация: 24.02.2002 Адрес: Riga Пол: Male Сообщения: 137	Adaware и Jv16 тут не помогут, они не предназначены для поиска вирусов. Надо смотреть описание вирусов, какие файлы кидают на хард, где прописываются в регистре, и ручками, ручками всё удалять!

31.10.2003, 19:07	# 9
sasa001 Guest Сообщения: n/a	ShooTer Вспомнил тут... по 2-му пункту Касперский на пне-166 кричал, что заражено... 'simm-память' =) MaximBa Я немного не то имел в виду... Посмотреть, что в реестре во всех разделах, начинающихся на Run надо было первым делом.... Ну да ладно, теперь уж поздно =))

31.10.2003, 19:11	# 10
MaximBa Newbie Регистрация: 30.10.2003 Адрес: Тут пока сижу Сообщения: 29	ShooTer Видимо так и есть. Во всяком случае, перестановка помогла. Добавил второй аутпост, нод и анти-троян. ПОсмотрим, что из этого выйдет Спасибо за ответ! Добавлено через 1 минуту: sasa001 А разве jv16 в разделе Реестр/Автозагрузка показывает не все Runы? А ято радовался __________________ Кесарю -- кесарево, а слесарю -- слесарево!

01.11.2003, 20:23	# 11
SniFFeR Guest Сообщения: n/a	postav kaspersky 4.5 monitor ego virubit! a esli net to reboot > safe mode > scan

03.11.2003, 00:08	# 12
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	MaximBa Рад был помочь. __________________ "That vulnerability is completely theoretical."

03.11.2003, 00:22	# 13
de(m)net Junior Member Регистрация: 16.11.2002 Адрес: Израиль Бат-Ям Пол: Male Сообщения: 136	MaximBa Зайди в сервайсес - дабл клик на стоке Remote Procedure Call (RPC) - в закладке "востановление" измени в строках: первый сбой:перезагрузка компьютера второй сбой:перезагрузка компьютера последующие сбои:перезагрузка компьютера на: "перезапуск службы" после этого сбрасывая vchost перезагрузки небудет. просмотри сайт там есть все, что тебе необходимо. Удачи __________________ Улыбайтесь - это раздражает окружающих Последний раз редактировалось damned; 03.11.2003 в 00:27.

03.11.2003, 11:31	# 14
MaximBa Newbie Регистрация: 30.10.2003 Адрес: Тут пока сижу Сообщения: 29	damned Спасибо! Вот то, что нужно! 5 баллов. __________________ Кесарю -- кесарево, а слесарю -- слесарево!