Подцепил вирь?

[el-]

из первого бинарника вываливается второй, из которого в сво очередь вываливатеся драйвер потом это все дружно ставится в систему под именами msile и sysdrv32 соответственно ... а ваще это иркбот, один из тех который по команде ботмастера сканит хосты на предмет баг .. тока стареньких, типа MS04-011 и PRC DCOM ( хотя я могу и ошибатся и там как раз пару новеньких ms08-67 ms08-68 )

вот отчет именно по твоему http://www.threatexpert.com/report.aspx?md...0de22d70a78b5cf

в общем не особо интересно ):

 

[Ma-stiff]

el-
karabas-barabas
Спс.
Я таг понимаю пассы менянть ненадо)

 

[lisa99]

Подозреваю, что на компе сидит зверек.
Были частые перезагрузки винды, в логах - конфликт ряда служб, в частности DHCP, какойто либы винды (hungapp).
Закрыла все порты, отключила все что можно из служб.
Остался из непонятного на порту 1032-37 System с неизвестной командной строкой - т.е. без никого. Не вижу ветку процессов.

Вопрос. Стоит Касперский, пользуюсь его файрволлом, уступает аутпосту намного.
1. чем оследить сетевую активность?
netstat -ab это порт не показывает, хотя он прослушивается
2. Стои ли ставит афйрволл и отключить при этом тот что в касперсом..
3. Что взять из утилит.. (винда ХР)

 

[Грот]

lisa99

скачай AVZ, в меню фаил выбери иследование системы, думаю в полученом отчете ты разберешься девочка ты вроде не глупая.
Если нет залей лог на обменник к примеру рапиду и кинь сюда.

 

[lisa99]

скачай AVZ, в меню фаил выбери иследование системы, думаю в полученом отчете ты разберешься девочка ты вроде не глупая.
Если нет залей лог на обменник к примеру рапиду и кинь сюда.

логи от AVZ - его архив, генерируемый для анализа? а нет смысла, там все ок.
А теперь прикинь - как AVZ заценит наличие этого..ВМ-инсайдера -здесь рекламируется. Никак.

AVZ не показывает ничего - уже несколько лет использую.
Он только показывает TCP-UTP активность, и все..Нужно что-то более специализированное. но не обязательно с функцией файрволла - достаточно отслеживания.

 

[AHTOLLlKA]

avz еще как показывает все что нужно) главно уметь пользоваться...
скачай cureit и avptools свежие.. прогани комп..
слей руткит анхукер сними нафиг все хуки .. после почисть автозапуск всяими стартерами или авторансом...

 

[salamandra]

Вот тут глянь утилитки...
http://rootkits.ru/app/

 

[lisa99]

скачай cureit и avptools свежие.. прогани комп..

неужели ты думаешь я этого не сделала?

после почисть автозапуск всяими стартерами или авторансом...

давно. глючили бонжур - сервис с ломанного пакета Adobe-он автостартовал и Flex - наглухо убрала в службах, помог определится AVZ

слей руткит анхукер сними нафиг все хуки

хм..проверка руткитов не выявила..вроде бы. ноя еще копну в этом направлении.

Спасибо.

Добавлено в [time]1238398293[/time]

Вот тут глянь утилитки...
http://rootkits.ru/app/

мм..как-то многовато =). Что из них эффективней?

 

[salamandra]

Может заражение какого нить сус файла...либо подмена с последующим запуском оригинального.

 

[salamandra]

мм..как-то многовато =). Что из них эффективней?

Насчёт эффективности ничего сказать не могу,ибо у мну очень редко бывали случаи заражения подобными программами и я не использовала эти утилиты.
Так что тестируй сама....

 

[el-]

раз уж руткит, то попробуй gmer.net

 

[lisa99]

сеньк-с.
Но остается открытым старый вопрос- видела как его мусолят на всех форумах.. И нет четкого ответа..(я не нашла).
Как соединить файрволл и Касперский?
чем лучше мониторить сетевую активность?

 

[salamandra]

Кто ж чёткий ответ то сможет дать,если не ты сама!Тут ренгена то нет.
Поставь себе какую нить nids,например Snort.
http://www.osp.ru/win2000/2004/05/177049/

 

[lisa99]

Кто ж чёткий ответ то сможет дать,если не ты сама!

да брось..я тебе вполне четко-пречетко могу сказать как глючил ломанный аутпост версий до 2009 г. Сейчас не знаю, но побаиваюсь - помогала вышибать его с компа через реестр.
Так что outpost - как-то страшновато. комодо - примитив, далеко от касперского не убежал...А что еще -не знаю...=\

 

[Mr.Di]

двеб мейби? у них тоже вроде как есть продукт для "комплексной зощиты"

 

[Mr.Di]

сабж у меня(( принесли комп главбуха, на машине стоит крипто про (херня для здачи отчетности). вылетало сообщение тиба вставьте ключ, вставбте ключ. связался с техсапом ихним, проблему починили ибо слетели серты, но они сказали что на машине малварь. дали линк где это обсуждается. http://www.cryptopro.ru/cryptopro/forum2/d...posts&t=356&p=2 вроде как сделал по инструкциям, переименовал в реестре в ключе [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"UserInit" %System%\oembios.exe (у меня он называется так) в %System%\oembios.exe_. предварительно из сейф мода прошелся куритом, ничего не нашлось. ребут, ползу в реест и бледь сцобачье, снова дописалось %System%\oembios.exe. далее будет призыв помощи, раскидывание соплей и тд и тп. короче помогите кто что знает. надо к завтр дню рабочую машину

вроде как вот тоже про него http://www.securitylab.ru/processinfo/300021.php

 

[G100M]

Такс...
Начнем с курита.
Лучше качай образ с сайта дрвеб и чекай через него.
Это LiveCD
А вообще поищи другие антивирусы с возможностями LiveCD
Вот LiveCD от врача
ftp://ftp.drweb.com/pub/drweb/livecd/minD...0.0.0902170.iso
А вот от лаборатории)
http://soft.oszone.net/download-file/5548/
ссылки исключительно прямые

Треды по твоим проблемам, угощайся
http://www.cryptopro.ru/cryptopro/forum2/d...?g=posts&m=4831
http://forum.oszone.net/thread-116656.html

 

[Mr.Di]

отработал троян ремовер, нашол интересности. вируснякин сука подправил еще и хост файлы

127.0.0.1 microsoft.com
127.0.0.1 kaspersky.com
127.0.0.1 norton.com
127.0.0.1 multitrader.info
127.0.0.1 reggame.biz
127.0.0.1 tele-globus.biz
127.0.0.1 newasp.com.cn
127.0.0.1 mygolddinar.com
127.0.0.1 xfatum.com
127.0.0.1 think-adz2.com
127.0.0.1 daoway.biz
127.0.0.1 school-172.info
127.0.0.1 http://test.just.f1del.net/limbo/mail.php
127.0.0.1 lem0n.info
127.0.0.1 fuckingwhitehats.com
127.0.0.1 supra-hosting.info
127.0.0.1 i-nt-e-r-n-e-t.com
127.0.0.1 global.ahnlab.com
127.0.0.1 esafe.com/esafe/default.asp
127.0.0.1 avast.com
127.0.0.1 authentium.com
127.0.0.1 avg.com
127.0.0.1 avira.com
127.0.0.1 bit9.com
127.0.0.1 quickheal.co.in
127.0.0.1 clamav.net
127.0.0.1 ca.com
127.0.0.1 drweb.com
127.0.0.1 eset.com
127.0.0.1 ewido.net/en
127.0.0.1 fortinet.com
127.0.0.1 f-prot.com
127.0.0.1 f-secure.com
127.0.0.1 gdata.de
127.0.0.1 hacksoft.com.pe
127.0.0.1 ikarus.at
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com/security/portal
127.0.0.1 norman.com
127.0.0.1 pandasecurity.com
127.0.0.1 prevx.com
127.0.0.1 rising.com.cn
127.0.0.1 securecomputing.com
127.0.0.1 bitdefender.com
127.0.0.1 sophos.com
127.0.0.1 sunbelt-software.com
127.0.0.1 symantec.com
127.0.0.1 anti-virus.by
127.0.0.1 trendmicro.com
127.0.0.1 virusbuster.hu

 

[AHTOLLlKA]

зевса поди тестил )))

 

[Mr.Di]

машина буха ептя. какой зевса. три года не обновлялась вообще. стоял нод который больше просто стоял чем ловил чтото