![]() |
|
| Правила Форума редакция от 22.06.2020 |
|
|||||||
|
|
Окажите посильную поддержку, мы очень надеемся на вас. Реквизиты для переводов ниже. |
|
![]() |
|
|
Опции темы | Опции просмотра |
Language
|
|
|
#1
|
|
Здравствуйте! Тут такая нехорошая ситуация сложилась - по всей видимости, вцепил такую гадость на свой ноутбук... Ситуация такая:
Бук у меня используется в главном офисе, дома, и на выездах... В моем распоряжении есть 2 сервера, которые я администрирую. Один из них дома - одно название , а вот второй действительно сервер. Как проявляется - на обоих серваках и на ноуте стоят антивирусники Nod 32 Lan версия 2.70.39. Развернуто 2 зеркала - в офисе обновляется с инета - зеркалит на ноут - ноут зеркалит "домашний сервак". Инет раздается Traffic inspector - там же стоит функция перехвата HTTP трафика на прокси сервер, Nod в свою очередь перехватывает его и прежде чем отдать в сеть сканирует... Дома все работает по такой схеме, но вот на работе я отключил принудительный роутинг на прокси... В общем, короче, прихожу я 3 дня назад на работу - вылазию в инет выскакивает сообщение об угрозе - я ему говорю - ЗАБЛОКИРОВАТЬ! Следом вылазит сообщение о том что объект найден в папке Windows\temp. Я ему удалить. Проходит минута - опять тоже самое!!! И так до бесконечности! КАЖДУЮ МИНУТУ! Сначала вылазит угроза - потом Temp. Лечится отключением запроса - с выбором действия... Сегодня - прихожу домой, дома стоит перехват трафика "серваком" , подключил ноут в сеть - дальше не надо лишних слов, я просто выложу лог нода: Лог Я в ужасе! Пересмотрел все службы, сделал локальный тест - ничего подозрительного! Все чисто! Я сначала грешил что может на работе кто то атакует, там сервак с белым IP. Но за аппаратным фаерволом + софтовым фаерволом. Но дома то обычный "серый инет", за роутером провайдера, так что думаю версия о централизованной атаке отпадает! Что посоветуете??? ![]() P.S: какое то странное совпадение! Как только начались эти проблемы - у меня на ноуте сдохла АКБ! Сначала разряжался за 3 минуты - теперь вообще не включается! Странно...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"! |
|
|
|
|
| Реклама: | Магазин бытовой техники: eob8s39z - переходи на сайт ТАЙМТВ! | Магазин бытовой техники: pozis орб 1п - переходи на сайт ТАЙМТВ! | панель управления частотным преобразователем danfoss | сергей катышев культурное пространство | Мебельный магазин: стулья для кухни из массива - Переходи на сайт! |
|
|
#2
|
|
Guest
Сообщений: n/a
|
Так, я думаю первое что стоит сделать,это сменить антвирус. Для сервера можно поставить Symantec Corporate Edition,Kaspersky или DrWeb для серверов.
Лечится мы будем в safe mode, а поэтому заранее качаем следующие программы Антивирусная утилита AVZ: AVZ Антивирусная утилита CureIt!: CureIt! И напоследок SpyBot: SpyBot Начинаем лечение: Грузимся в Safe Mode,cканируем полностью весь компьютер AVZ,ставим в настройках "действий" удалять Трояны,черви,спайваре,кейлогеры и.т.д. После этого сканируем все полностью SpyBot, что найдет - удаляем. И напоследок запускаем DrWeb CureIt! и делаем ПОЛНУЮ! проверку,а не БЫСТРУЮ. Что находит - удаляем. Последнее действие, ставим вместо НОДА Касперского,DrWeb или Symantec Corporate. Последний раз редактировалось Witaly; 10.02.2008 в 23:02.. |
|
| Сказали спасибо: |
|
|
#3
|
|
Ну менять антивирусник это уже крайняя мера! Лично меня НОД никогда не подводил... Если конечно не в этот раз...
Первое что пришло в голову - это как раз CureIt! Сейчас попробую...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"! |
|
|
|
|
|
|
#4
|
|
Guest
Сообщений: n/a
|
Ты сперва AVZ и SpyBot`oм просканируй все, на компьютере может быть кейлогер или spy какойнибудь. CureIt! на последок. Если НОД устраивает,смени его на 3-ий хотябы... |
|
|
|
#5
|
|
Хм... Интересный поворот событий произошел...
Вот лог скана AVZ Ну самое интересное что здесь: [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs,C:\WINDOWS\ system32\rserver30\r3god.dll Это Radmin... Причем вылеченный от жадности, разумеется... Скачанный с этого форума... После удаления этого файла, радмин остался работоспособным... Кхм...И второе - >>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker (высокая степень вероятности) >>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) Вот, похоже оно! Открыл реестр - нашел ключи автозапуска... Удалить не получалось - файл запускал Winlogon.exe. Через параметр "Userinit". Дальше разблокировал Unlocker - ом, вырезал на рабочий стол и о ЧУДО! Nod заверищал! Вероятно модифицированный Win32/obfuscated! Все, будем ждать результат... Тему пока не закрываем... P.S: CureIt в этом файле ничего криминального не нашел... И оба нашли много безобидного...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"! |
|
|
|
|
|
|
#6
|
|||||||||||||||||||||||
А ты NOD32 с фиксом пользуешься? Если да то он работает как демо версия и обновляется демо базами. Удали фикс и нод и переустанови нод без фикса. найди альтернативный сайт обновлений. и обновляйся с него. настрой нод на максимальную эфективость. тормозов нет, а работает на все 100. каспер отдыхает. ![]() |
||||||||||||||||||||||||
|
|
|
| Сказали спасибо: |
|
|
#7
|
|
Да... ОТКУДА ТАКАЯ ИНФА???
![]() На сервер в офисе - совсем недавно фикс поставил... Ну он же вроде и отлавливал нормально... А на бук, и дома почти сразу фикс поставил... Я тоже солидарен, что нод - рулит! Главное прямые руки и светлая голова... Он у меня прекрасно настроен на работе - там само все вертится, сканирует, никого не о чем не спрашивает, и ресурсы не жрет! Супер вещь! Не подскажешь альтернативный источник??? ЗЫ: Сервер на работе перезагружать низзяяя... ![]()
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"! |
|
|
|
|
|
|
#8
|
|
Guest
Сообщений: n/a
|
Так как твоя проблема решена? Удалил бы AVZ ntos.exe и посмотрел бы на результат.
И если ты так любишь НОД поставь 3-юю версию, а чтобы ключик не банил деактивируй функцию Threat Sense. |
|
|
|
#9
|
|
Вот пробуй отсюда. Всегда свежие базы
http://nod.madbadjack.com/ |
|
|
|
|
| Сказали спасибо: |
|
|
#10
|
|||||||||||||||||||||||
Ну вроде не донимает больше... Но я еще толком не работал в сети с ноута... Avz его не смог удалить! Я же описал - я вручную удалил... Вернее - доступа не было, я разлочил Unlockerom, удалил из реестра все ссылки на файл ntos.exe. Дальше ВЫРЕЗАЛ файл на рабочий стол, и вот только тогда, когда тот оказался на рабочем столе - Nod определил его, что тот вирус... А пока ntos.exe, сидел в папке System32 - я на него "палцем тыкал" - сканил его единственного - ТОТ В УПОР ЕГО НЕ ВИДЕЛ! Кстати CureIt! - тоже пропустил этот файл... P.S: Еще очень интересный момент - в диспетчере задач НИЧЕГО ПОДОЗРИТЕЛЬНОГО НЕ БЫЛО...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"! |
||||||||||||||||||||||||
|
|
|
|
|
#11
|
|||||||||||||||||||||||
|
Guest
Сообщений: n/a
|
Действительно интересный случай... Хорошо то,что хорошо кончается. Пользуйтесь утилитой AVZ - может много полезного найти. + Просканируй еще SpyBot S&D - тоже много гадости найдет,уверен на 75 %. |
|||||||||||||||||||||||
|
|
|
#12
|
|
Вот по теме http://www.viruslist.com/ru/viruses/...virusid=164339 , а название виря: Virus.Win32.Gpcode.ai
|
|
|
|
|
| Сказали спасибо: |
|
|
#13
|
|||||||||||||||||||
|
Епт! Во попадалово! Жесть! А если бы закриптовал файло?????? Да уж... Спасибо за ссылку! Я очень много поисковик юзал на эту тему, но ничего не нашел...
P.S: За 14 лет моего компьютерного стажа - это 3 заражение вирусом... Первые 2 были на 2 - 4 году... 10 лет, я знал что да как, и тут такое... Раньше всегда юзал касперского, перед ним Dr.web.На NOD пересел когда был вынужден разворачивать корпоративный сервер, тогда то мне его и подсоветовали... Теперь ломаю голову, когда же я его пропустил... Есть предположение - думал что работаю через своего прокси, который сканит трафик, и вырубил локальный антивирус. А на самом деле, на прокси, давно отключил проверку группы Sysadmin... Вот так и словил... Сейчас вроде все нормально. Ура!Добавлено через 17 минут Цитата с Viruskist:
ЭЭЭ... Я немного в шоке.... Мягко говоря... ![]() Я сейчас посмотрел в своем каталоге Windows такую папку и файлы...... Дата создания 31.10.2007... 3 месяца у меня висел этот троянец... Жесть...Заметьте - проявился только сейчас...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"! Последний раз редактировалось StayeR; 12.02.2008 в 19:49.. Причина: Добавлено сообщение |
||||||||||||||||||||
|
|
|
![]() |
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Как удалить с компа вирус - worm.win32.autorun.cnw | marina sp | Интернет партизаны | 24 | 25.07.2010 10:28 |
| Люди выручайте | matros77777 | Архив | 3 | 05.02.2009 22:01 |
| Подхватил вирус Win32/Expiro.C не знаю что и делать? | langoliers | Антихакинг | 10 | 24.05.2007 18:40 |
| Вирус Backdoor.Win32.Medbot - что за гадость такая хитрая | SanchoDer | Безопасность | 11 | 06.05.2007 09:11 |
|
|