Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Ходить сюда: http://portal.sysadmins.ru/board/viewtopic.php?t=38918 29.03.04 10:53 Число просмотров: 4142
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
|
<hacking>
|
Помогите избавиться от трояна который посылает Dr.Web,AVP,Trojan Rem.. и т.д просто на... 29.03.04 10:45
Автор: Bo Статус: Незарегистрированный пользователь
|
|
Дело было так!Серфил по Инету ,забот не знал,но в один прекрасный момент стали вылезать окошки с порнухой - с этим сначала вроде разобрался. Дальше комп стал просто нагло тупить - подумал что троян ,так и есть Dyfuca(но Dr.Web его зверски избил),далее запустил (на всякий) Trojan Remover,Ad-aware 6 и прочего софта - все ничего нет.Рестартнул - @$та,все тупит,я к AVP - троян Donn(убил его гада).Все вроде стало работать нормально,но периодически вылезает "подключение к интернет" если разрешить ему подключиться,то в firewall'е видно что парой байт кидается в сторону toolbar2.i-lookup.com(а это сраная порнуха).Я делал уже все что мог,но софт ничего не находит,реестр вроде чист(i-lookup там точно нет),так что ЕСЛИ КТО-НИБУДЬ СТАЛКИВАЛСЯ ИЛИ ЗНАЕТ КАК ОТ ЭТОЙ СВОЛОЧИ ИЗБАВИТЬСЯ ,ОЧЕНЬ ПРОШУ ПОМОГИТЕ !!!!!!!!!!!!!!!!!!!
|
|
Да. Еще кто то мне сказал что подобные гадости модифицируют... 05.04.04 00:33
Автор: Dlb Статус: Незарегистрированный пользователь
|
|
Да. Еще кто то мне сказал что подобные гадости модифицируют родной svchost. Так что его тоже надо заменить.
|
| |
Каким макаром - интересно. Во время работы системы бегают... 18.04.04 02:18
Автор: Sashman Статус: Незарегистрированный пользователь
|
> Да. Еще кто то мне сказал что подобные гадости модифицируют
> родной svchost. Так что его тоже надо заменить.
Каким макаром - интересно. Во время работы системы бегают сразу несколько процессов svchost.exe (он держит разные системные сервисы), а в такой ситуации файл изменить нельзя. И в любом случае, даже если свцхост потрут - проснется Windows File Protection и все вернет на свое место.
|
| | |
Примерно так 19.04.04 17:24
Автор: Neznaika <Alex> Статус: Member
|
1) Запрещаем Windows File Protection
(URL = www.atstake.com/research/tools/vulnerability_scanning/wfpdisable.zip)
2) Вызываем MoveFileEx(..) с флагом MOVEFILE_DELAY_UNTIL_REBOOT
|
|
Была у меня подобная проблема. Я то сам не особый спец но... 05.04.04 00:30
Автор: Dlb Статус: Незарегистрированный пользователь
|
|
Была у меня подобная проблема. Я то сам не особый спец но может какие мысли из моего опыта помогут. Так вот. Лазил где то по порноте и подцепил какую то гадость. Ета срань постоянно меняла домашнюю страницу, добавляла ссылки в избранное и ярлыки на рабочий стол. Ни где в автозагрузках ничего не было. Сначала я случайно заметил несколько процессов вида svchostc, svchostb и т.д. Грохнул их. Потом был обнаружен файл svchost.exe в папке windows хотя его там быть не должно (винда ХР). Тоже грохнул. Ето все я делал вручную. Были еще всякие msdos.exe, link.exe. Прошерстил винт на предмет файлов созданных в то время когда меня заразили. Все тоже покоцал. Потом наконец нашел какой то антитроян и он обнаружил еще одну гадость. Вроде все почикал. Но проблема со стартовой страницей и ссылками осталась. Так вот стартовая страница у меня была пустая. Я прошерстил реестр по about:blank и нашел что то типа http://%s%o%m%e............%x about:blank. Скопировал часть етой строки (не целиком на случай если адреса будут не совсем одинаковые) и поискал в реестре все упоминания и грохнул. Вроде на етом мои приключения закончились. Я правда так и не понял етого фокуса со стартовой страницей. Блин и ведь ничего не помогло - ни файрвол, ни скриптблокинг от Symantec. Хорошо хоть все попытки исходящих соединений можно было заблокировать.
|
|
Ходить сюда: http://portal.sysadmins.ru/board/viewtopic.php?t=38918 29.03.04 10:53
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
|
| |
пару раз еще встречал подмену библиотек системных типа (не... 19.04.04 17:49
Автор: vladik_ Статус: Незарегистрированный пользователь
|
пару раз еще встречал подмену библиотек системных типа (не помню точно) shdocvw.dll api итд. меняются по всей видимости пару строк внутри так например, урл для поиска по умолчанию и подобное, можно попробовать поставить родные длльки, хотя имхо после такого система может и вылететь=)
поправьте если не прав.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
