• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Троян - поиск

Статус
В этой теме нельзя размещать новые ответы.
F

FireKiller

Новые
Регистрация
21 Апр 2007
Сообщения
594
Реакции
3
Баллы
0
Троян - поиск

Короче, тут такое дело: бродил по и-нету, вдруг Nod сообщает, что обнаружен вирус: файл C:\WINDOWS\System32\drivers\Winnn33.sys, Win32/Wigon.CK троян, юзер NT AUTHORITY\SYSTEM, Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!).
Сразу за этим сообщением последовало другое: файл ..., вероятно модифицированный Win32/Statik приложение, юзер NT AUTHORITY\SYSTEM.
Затем он начал с большой скоростью качать и отдавать что-то в и-нет.
Я выключил и-нет, включил опять - он начинает что-то качать и отправлять. Прошерстил процессы в диспетчере задач, службы просмотрел, глубокой проверкой просканировал диски (антивирь NOD 32 2.7 база данных 3444 (самая новая)). Нашёл парочку вирусов и троянов и всё.
Перезагрузил комп, включил и-нет - работает нормально. Через пять минут Нод опять нашёл троян, и что-то начало качать/отправлять. Отключил два подозрительных процесса, и вроде всё работает нормально, но мне неспокойно (вирус не найден, да и плата за и-нет по траффику).
Что посоветуете?:confused:
 
Скажите прогу, которая отслеживает все процессы, подключающиеся к и-нету - может быть так его можно выявить...
 
Дима, да.. хапанул ты гадость какую-то. Качай Dr.Web, сканируйся в безопасном режиме. При этом отключи восстановление системы и действующий Nod.
Проверь автозагрузку программ.
>C:\WINDOWS\TEMP\BN7.tmp. (я его не нашёл!).
Отключи в свойствах папки скрытие папок и файлов, может найдешь и грохнешь вручную. Пока так, пиши что дальше будет :)
 
2IP NetMonitor кажется такая прожка есть. Отслеживает открытые порты и все сетевые соединения по ним (исх., вход.) Да, и почисть карантины Нода и Веба (в безопасном тоже).
 
Деньги кончаются! Эта гадина на пару секунд качает около 2-3 мегов!
Лицензионного Доктора мне негде достать. Все тэмпы проверил - пустые (даже по свойствам они пустые). В автозагрузке ничего лишнего нет.
Сейчас буду искать этот NetMonitor.
 
Методом проб и ошибок я его вычислил. До включения и-нета у меня было 49 процессов в диспетчере задач (их я сфоткал). После обнаружения вируса их стало 50! И он снова начал качать. Процесс я вычислил - это был один из svchost.exe. Выключил его и скачивание прекратилось!
Глубокий анализ по дискам Нодом в безопасном режиме вновь ничего не выдал.
 
2IP NetMonitor подтвердил мою догадку (правда там этих svchost.exe нескольно, но ESTABLISHED только один). Пока схожу положу денюжку на и-нет, потом продолжу поиски трояна более тщательно.
 
А нельзя т.с. "искать троян выдернув сетевой шнур"?
Я эту фигню по ссылке скачал, чего с ней делать?
 
Какую фигню?! Это троян! Я же сказал по ссылке не проходить!!!!
 
saturn721 написал(а):
А нельзя т.с. "искать троян выдернув сетевой шнур"?
Нажмите для раскрытия...

Что ты имеешь ввиду? Я троян искал всеми способами! Антивирь его не видит!
Я думаю, что пора опять винду переустанавливать... :(
 
Почитал я тут эти странички:
http://virusinfo.info/showthread.php?t=25215
http://ru.wikipedia.org/wiki/Троянские_программы
http://forum.xakep.ru/m_1179416/tm.htm
И решил - ну его на фиг высь этот гемор! Саму прогу вредоносную я выключил, докачаю кое-какие файлы с и-нета и переустановлю винду (она итак уже глючит!).
А эти ссылки вам к сведению!
http://go.mail.ru/search?q=Win32/Wigon.CK
 
Дима, AVZ не юзал? Попробуй просканируй им, с включенным мониторингом и отключенным инетом, возможно найдет.
 
Поздно! :D
Винда новая! :D
Отлично! Ни одного глюка! :D
 
После долгих и мучительных поисков решения пришел к кардинальной мере - а может оно и к лучшему.. :)
 
Стандартными методами папка временных файлов интернета не очищается полностью, этим пользуются прогрессивные создатели червей и троянов.
От большинства таких проблем можно избавиться простейшим способом.
Удалите содержимое папки Temporary Internet Files в директории Local Settings /. С помощью WinRARа, в безопасном режиме.
 
:D
Ладно, рассмотрение проблемы закончено.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху