Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | | |
netstat -a -n -- смотришь на все подозрительное. Трой останется, если ты не удалишь "левые" скрипты. Кроме того, заранее не ясно, является ли троян "чисто скриптовым" или же скрипт скачивал какой-либо файл из Интернета. 01.07.05 15:42 Число просмотров: 1901
Автор: kstati <Евгений Борисов> Статус: Elderman
|
Одним из простых методов нахождения троянов является поиск "exe" файлов созданых с момента подозрения на заражение (-3-5 дней). Это далеко не 100% обнаружение, но, зачастую действенный метод. Кроме того, разумеется, нужно смотреть какая программа ломится в сеть. Более-менее реальным решением является установка файервола. Хотя, имнхо, в современном интернете это - обязательный продукт, как браузер ;).
|
<beginners>
|
Что за штука такая Backdoor.Win32.mIRC-based 30.06.05 14:57
Автор: D@RLOK Статус: Незарегистрированный пользователь
|
Касперский начинает ругатся на эту гадость, только после обновления, (мирка запущена)
пробовал удалять, лечить, не помогае, причем после обновления начинашь сканировать ничего не видит(и так до следующего обновления), подскажите как бороться с этой гадостью (хотя может mIRC изначально работает как троян)????
|
| | |
Логично !!! 30.06.05 18:25
Автор: LOnG <LOnG> Статус: Member
|
> вопрос в другом, почему каспер видит его лишь после > обновления, Логично !!!
> и почему при сканировании он его не находит??? Нелогично !!!
|
| | |
еще хотелось бы знать 30.06.05 16:12
Автор: D@RLOK Статус: Незарегистрированный пользователь
|
Eще хотелось бы знать господа эксперты, на какой айпи он посылат инфу(с какого компа идет управление). На сколько я понимаю этот трой пришит к мирке и запускается вместе с ней и если удалить мирку трой останется?
|
| | | |
netstat -a -n -- смотришь на все подозрительное. Трой останется, если ты не удалишь "левые" скрипты. Кроме того, заранее не ясно, является ли троян "чисто скриптовым" или же скрипт скачивал какой-либо файл из Интернета. 01.07.05 15:42
Автор: kstati <Евгений Борисов> Статус: Elderman
|
Одним из простых методов нахождения троянов является поиск "exe" файлов созданых с момента подозрения на заражение (-3-5 дней). Это далеко не 100% обнаружение, но, зачастую действенный метод. Кроме того, разумеется, нужно смотреть какая программа ломится в сеть. Более-менее реальным решением является установка файервола. Хотя, имнхо, в современном интернете это - обязательный продукт, как браузер ;).
|
| | | | |
каким образом можно подчистить эти левые скрипты? 05.07.05 06:59
Автор: D@RLOK Статус: Незарегистрированный пользователь Отредактировано 05.07.05 07:16 Количество правок: 1
|
> Одним из простых методов нахождения троянов является поиск > "exe" файлов созданых с момента подозрения на заражение > (-3-5 дней). Это далеко не 100% обнаружение, но, зачастую > действенный метод. Это проследить уже не реально троян сидит давно, и отследить ехе шники не представляется возможным( хотя все файло выкачиваемое из сети я постаянно сканирую на вири....
>Кроме того, разумеется, нужно смотреть
> какая программа ломится в сеть. Более-менее реальным > решением является установка файервола. Хотя, имнхо, в > современном интернете это - обязательный продукт, как > браузер ;). фаервол стоит давно(outpost), тока никаких левых соединений там нет, а троян привязан походу к Мирке
а она легально лазеет в сеть, соответственно и вирь с нею:(
Опять же очень интересно на какой айпи этот вирь отсылает инфу, (в каспере есть возможность сохранить этого трояна, чем его можно вскрыть и посмотреть содержимое, желательно чтонть попроще soft ice)??????
Кстати вызывает подозрение токая строка(после netstat -a -n):
ЛОКАЛЬНЫЙ АРЕС ВНЕШНИЙ АДРЕС СОСТОЯНИЕ
213.84.45.89:4468 194.126.40.148:80 TIME_WAIT
(Подключена только локальна сеть)
В остальных строках Внешний адрес нули. Может это конечно адрес локального сервака, но чтото уж порты больно поозрительные......
|
| | | |
Смотреть надо, как минимум fire приделать 30.06.05 18:24
Автор: LOnG <LOnG> Статус: Member
|
> Eще хотелось бы знать господа эксперты, на какой айпи он > посылат инфу(с какого компа идет управление). Смотреть надо, как минимум fire приделать
> На сколько я > понимаю этот трой пришит к мирке и запускается вместе с ней > и если удалить мирку трой останется? ХЗ
|
|
|