поймал трояна

[alexSS]

Поймал где-то трояна, антивирус стоит, и ловит и удаляет его, но после каждого перезапуска компа, снова вылазит антивирь с сообщением об трое,  вирус находится в файле service.exe и если его не трогать то он запускает 2 процесса в огромных количествах (service.exe и cmd.exe) Как его можно снести совсем ? Чтоб больше не появлялся? Пробовал ставить касперского, после чего даже не запускалась система, пришлось удалить. Ща у меня установлен Symantec AntiVirus 10.0, стоит уже много лет, менять бы не хотелось.

[[MAKS]]

ну вирус (троян) паходу резидентный так-что попробуй вытащить комп из розетки (с запущенной системой)
после загрузись с болванки (с записанной линукс) и грохни этот файлик
или поставь nod32
вобще непохоже на троян

[imperfect]

Пробовал ставить касперского, после чего даже не запускалась система, пришлось удалить. Ща у меня установлен Symantec AntiVirus 10.0, стоит уже много лет, менять бы не хотелось.

Каспер с Нортоном? Ядерная смесь.
Выход: загрузись с лайва какого-нибудь и скань, СКАНЬ!

[Raphail]

уфф..не раз были аналогичные темы=)
1.Ищеш и ставишь проактивный монитор процессов(не те что в дырь веб-нортон-панда) а злее...а ля AVZ(впрочем можно и его)...^^ мне по нему проще обьяснять
там сразу же включаешь авзет гвард...после лезешь в конфиги и настраиваешь жесточайшие методы скана и проверки.потом...идёшь проводником в папку с заразой(в идеале бы Тоталь командиром)и там начинаешь глумиться милым и добрым образом а именно переименовывать зловредные длл(обычно они "источники")...если зараза попалась =) хамоватая то она тебя шлёт нафиг...но и это поправимо...утилитой Анлокер(опять же не раз говорилось про неё тут...да и админ как то клал на портале).Отвязываешь от неё все процессы(хотя наверное проще свцхосты)...после чего винда икает и умирает пляшешь с бубном над павшим файлом(он таки переименовывается).Казалось бы что такого...ан нет...после следующего ребута,ключ реестра запускавший тварюшку,уже нерабоч и...смело на сей раз удалив с винта файлы ты убиваешь и резидента=)

*забыл сказать...после обнаружения места надиске(где неубиваемая зараза) отруби гварда...=) а то с ним можно и на измену подсесть

[Foxeed]

Отпишусь, пожалуй.

У меня какой-то непонятный случай — я с таким не сталкивался.
Как все было:

[ Читать далее ]

система загружалась, через некоторое время появлялась ошибка svchost, в процессах ничего не висело, кроме одного svchost-а, в строке запуска которого был каталог System32 с большой буквы, штатные svchost-ы с маленькой «s». Наверно это важно. Вот, если ошибку не закрывать (штатное виндузятное окно OK-Cancel-× с внятным сообщением, что че-то там не туда обратилось), то все в порядке, а если нажать на любую кнопочку в этом окне, то тут же слетал звук, какие-то приложения не открывались и блокировались страницы с microsoft.com и сайтов известных антивирусных программ. Я сразу решил, что чего-то с svchost-ами кто-то делает. Погуглил, решил скачать какую-то муру с названием «PC Tools Firewall Plus», она установилась и показала, что какая-та дрянь с именем svchost юзает 135 порт. В общем, чего-то там повозился, инет пропал. Очередная перезагрузка, отрубил сразу же непонятный svchost, который был в списке выше основной группы, вроде инет появился,

скачал AVZ по совету из этого поста, он помониторил чего-то и ничего не нашел, однако теперь ни один экзешник средствами эксплорера не вызвать (браузер открыл через AVZ), тотал коммандер, понятное дело, тоже. :) По прежнему блокируются перечисленные майкрософт-ком и компания.

Чего делать? AVZ-то молчит, ноду нет доверия, но снести его пока невозможно, да и муру эту не удалить, она просто мешается.
Отправлено: 14-01-2009 | 18:49:10Да, погуглил чуточку и нашел ооочень похожую тему на мою. Кажется, это оно. Один вопрос: как они эти файлы выцепили? Как я понял, имена этих голимых файлов генерятся автоматически, как мне найти свои и где это надо нажать в AVZ? :)

[alexSS]

я справился со своей проблемой с помощью Ad-Aware SE Professional, клевая прога, всегда всего дофига находит и  все удаляет. Попробуй в общем.

[Spawn]

Рукоблудством в тырнете меньше страдать надо 

[Foxeed]

Не, спасибо, мне «проги» не нужны, тут более тонкий подход нужен, а чтобы его осуществить, мне надо знать куда жать, чтобы увидеть имена файлов для удаления. Как-то так. :|
Отправлено: 14-01-2009 | 19:27:53Майор, я тебя спрашивал про то как подцепил фигню? Прошу не флудить. Если тебя интересует ответ, то по помойным сайтам не хожу. Скорее всего подцепил заразу, когда на вылезшей откуда-то форме ввода пароля «нет» нажал. Надо было чето умнее сделать, но я и не заметил тогда. :( Это был самый подходящи случай, ну или меня взломали как-то и троян протащили — файервола не ставил. По хорошему надо все порты позакрывать, конечно же… Сейчас почему-то активны порты 135, 139, 445 — наверно я в ботнет попал.

[Lerik]

Может посерьёзнее какой Fire поставить и ещё раз посмотреть кто и как  ?

[Raphail]

эм..проверять заразу на пионерность не пробовал?(те глянуть классические системс и системс32 по дате создания,на предмет появления новых длл)

а вообще есть ещё жабавный вариант проверки с паралельной ОСи.Если место на разделах есть загрузи туда ещё 1у винду(пофиг какую ибо лишь на время) и из под неё прогони всё снова

[Foxeed]

По дате создания не получилось, но мне хотелось бы тем скриптом воспользоваться, а для этого надо какой-то хренью лог составить как там.
Отправлено: 15-01-2009 | 12:57:55AlexSS, я кстати, ради интереса поставил adaware какой-то шестой версии, ничего не нашло конечно же :D комп clean по ее мнению и по мнению нода с avz. Это к вопросу о заморочности. :) Я эту заразу отрубаю в процесса[ и играю себе спокойно, фильмы смотрю, но какие-то козлы мне канал затыкают постоянно, надо уже собраться с силами и погуглить основательно. :P

[alexSS]

Ну у меня стоял Ad-Aware SE Plus v1.06r1, он даже куки считает опасными объектами ) но думаю это таже байда, видимо действительно что-то крутое поймали. А вообще самое сильное что когда либо против вирусняков я ставил это касперский, самая последняя версия так круто мне комп защитила - просто не дала винде загрузится(вечная загрузка)   

[Foxeed]

Не, я больше не хочу связываться с антивирусами, которые в фоне сидят, потому что возникает иллюзия защиты. Главное — файервол, но вот чето не могу выбрать подходящий. Пока на том форуме отправил логи свои, может помогут, фиг его знает. :)
Отправлено: 15-01-2009 | 17:58:07Да, фигня давно побеждена, если кого-то интересует.