Сейчас обсуждают

[PIDAGOGG]

в том то и дело что все обновления отключены в том числе и обновление винды!

[jnzz]

в том то и дело что все обновления отключены в том числе и обновление винды!

Во-первых, попробуй посмотреть монитором портов - тем же tcpview, там увидишь, какой процесс и в каком направлении коннектится в описанные моменты.

Во-вторых, попробуй отключить службу BITS (фоновая интеллектуальная служба передачи).

В-третьих - неясно, к тебе или от тебя трафик. Я так понял, что входящий.

В-четвёртых - поищи всё же автообновляторы (например, явовский, неровский, адобовский), и вообще внимательно изучи всё, что сидит в памяти в момент несанкционированных закачек - это можно сделать, например, process explorer'ом.

В-пятых, ищи трояны. Оптимально поспрашивать в форуме virusinfo.info, только прочти сперва правила, скачай, что там положено, выполни, сделай логи, и при обращении в форум всё выложи. Парни там опытные, почти наверняка помогут.

Поделиться результатом только не забудь

Удачи.

[ДКА]

А какая система установлена ?Если Виста то в не может быть идет поиск решений проблем (если фаервол не блокирует), либо включена подписка на сбор системных событий с удаленных компьютеров
отключи службу сборщика событий(не помню в ХР есть или нет)Кроме этого оключи другие службы которыми ты не пользуешься и которые связаны с интернетом, сразу увидишь что половина открытых портов у тебя исчезнет.У меня такая проблема была как то вкачал 190 метров .Через Каспера увидел что установлено входящее соединение :SVCHOST.EXE -K NETSVCS - разволновался и не посмотрел конкретно на какой порт и откуда - отключился,но подозреваю что это было выше сказанное.Сейчас такой проблемы нет

В-пятых, ищи трояны. Оптимально поспрашивать в форуме virusinfo.info, только прочти сперва правила, скачай, что там положено, выполни, сделай логи, и при обращении в форум всё выложи. Парни там опытные, почти наверняка помогут.

Я почему-то всегда считал что трояны большей частью передают, а не принимают.

Сообщение отредактировал ДКА - 23.7.2008, 14:15

[f0rest]

В-пятых, ищи трояны. Оптимально поспрашивать в форуме virusinfo.info, только прочти сперва правила, скачай, что там положено, выполни, сделай логи, и при обращении в форум всё выложи. Парни там опытные, почти наверняка помогут.

Если он полезет в глоб, то деньги со счёта уйдут моментально

[zx-spectr]

Я почему-то всегда считал что трояны большей частью передают, а не принимают.

Не обязательно. Есть прокси трояны. Уж они и принять и передать много могут.

[jnzz]

Через Каспера увидел что установлено входящее соединение :SVCHOST.EXE -K NETSVCS - разволновался и не посмотрел какое конкретно приложение работает - отключился,но подозреваю что это было выше сказанное.Сейчас такой проблемы нет

SVCHOST.EXE -K NETSVCS запускает две трети служб, в т.ч. dhcp клиента, службу аудио, автоматического обновления, брэндмауэр, вторичный вход в систему, диспетчер логических дисков, диспетчер подключений удалённого доступа, инструментарий управления, сервер и рабочую станцию, клиент отслеживания изменившихся связей, мастер-браузер, определитель оборудования оболочки, сетевые подключения, события СОМ+, восстановление системы, службу времени, регистрацию ошибок, сетевое расположение, криптография, телефония, темы, фоновую службу передачи, регистрация системных событий и т.д. Часть из этих служб может принимать входящие соединения.

Я почему-то всегда считал что трояны большей частью передают, а не принимают.

Проверить-то кто мешает?

[ДКА]

SVCHOST.EXE -K NETSVCS запускает две трети служб, в т.ч. dhcp клиента, службу аудио, автоматического обновления, брэндмауэр, вторичный вход в систему, диспетчер логических дисков, диспетчер подключений удалённого доступа, инструментарий управления, сервер и рабочую станцию, клиент отслеживания изменившихся связей, мастер-браузер, определитель оборудования оболочки, сетевые подключения, события СОМ+, восстановление системы, службу времени, регистрацию ошибок, сетевое расположение, криптография, телефония, темы, фоновую службу передачи, регистрация системных событий и т.д. Часть из этих служб может принимать входящие соединения.

И я про то же.

Проверить-то кто мешает?

Каким образом в смысле установить трояна и смотреть , что он будет делать - чувство юмора у тебя присутствует.

Сообщение отредактировал ДКА - 23.7.2008, 14:11

[jnzz]

И я про то же.

Насколько мне показалось, ты траванул байку про то, что, увидев, как некий процесс куда-то лезет, ты, не посмотрев на порт и адрес, т.е. не глядя, его отрубил, но при этом полон всяческих подозрений.

Проверить-то кто мешает?

Каким образом в смысле установить трояна и смотреть , что он будет делать - чувство юмора у тебя присутствует.

Проверить отсутствие трояна, юморист.

Человек, типа, помощи просит (и чего-то молчит совсем). Ты можешь помочь конкретным советом? Помоги.

[PIDAGOGG]

не знаю кароче блокировал все подозрительные всплывающие процессы монитором портов по очереди )) кароче трафа не утекает вроде 0) всем пасибки ))

:SVCHOST.EXE -K NETSVCS дада кстати что то подобное тоже было и пыталось получить доступ к сети ) Не знаю почему фаервол не блокировал эти процессы

[ДКА]

не знаю кароче блокировал все подозрительные всплывающие процессы монитором портов по очереди )) кароче трафа не утекает вроде 0) всем пасибки ))

:SVCHOST.EXE -K NETSVCS дада кстати что то подобное тоже было и пыталось получить доступ к сети ) Не знаю почему фаервол не блокировал эти процессы

То что не утекает это хорошо , главное что-бы отключения служб не повлияли на стабильность и нормальную работу системы.
Фаервол не блокирует т.к. это система для нее в нем созданы определенные правила регламентирующие доступ к сети , что-то системное он может и блокирует , но не все.

[ДКА]

«Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы

--------------------------------------------------------------------------------

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.

Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.

До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков «Лаборатории Касперского», является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.

Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.

Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы "Лаборатории Касперского".

Источник http://www.kaspersky.ru/news

Сообщение отредактировал ДКА - 7.8.2008, 0:40

[ДКА]

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении нового почтового полиморфного червя-кейлоггера, использующего оригинальный механизм сокрытия своего присутствия в системе.

Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими).



Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.

Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, дает основания предположить, что автор червя является русскоговорящим.

Детектирование вредоносной программы Email-Worm.Win32.Lover.a было добавлено в сигнатурные базы Антивируса Касперского в 17 часов 23 июня 2008 года.

24.06.2008

Источник http://www.kaspersky.ru/news

P.S. Информация немного устаревшая , но все же .

Сообщение отредактировал ДКА - 10.8.2008, 0:39

[mephisto]

Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Как показало исследование червя, проведенное аналитиками "Лаборатории Касперского", файл с отслеженными вредоносной программой данными отправляется на FTP-сервер rdtsc.***.com.

Мараль сей басни такова: нефиг под админом сидеть

[ДКА]

Мараль сей басни такова: нефиг под админом сидеть

А по подробнее можно?

[mephisto]

А по подробнее можно?

Ну у из-под ограниченной учетной записи, нельзя инфицировать исполняемые файлы, ибо запись в "Program Files" будет запрещена.

[ДКА]

Ну у из-под ограниченной учетной записи, нельзя инфицировать исполняемые файлы, ибо запись в "Program Files" будет запрещена.

Т.е. можно создать допустим на домашнем компьютере вторую учетную запись обычного пользователя и заходить с нее , а в случае если необходимо выполнить какие-либо действия ,то всегда это можно сделать от имени админа из контекстного меню (виста), либо сменив учетную запись.
Может оказаться что система вообще не разрешит открыть этот файл от имени ограниченного пользователя.

Сообщение отредактировал ДКА - 10.8.2008, 19:21

[mephisto]

Т.е. можно создать допустим на домашнем компьютере вторую учетную запись обычного пользователя и заходить с нее , а в случае если необходимо выполнить какие-либо действия ,то всегда это можно сделать от имени админа из контекстного меню (виста), либо сменив учетную запись.
Может оказаться что система вообще не разрешит открыть этот файл от имени ограниченного пользователя.

Вообще-то так и надо делать

[ДКА]

Trojan-Downloader. Win32.Delf.cfo

16 июля, 2008

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 133120 байт.

Инсталляция

После запуска троянец копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\iexplorer.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IE" = "%WinDir%\iexplorer.exe"

Также троянец добавляет правило в брандмауэр Windows, которое разрешает любую сетевую активность для вредоносного процесса.

Деструктивная активность

Троянец скачивает файлы по следующим ссылкам:

http://www.site*****.com/top7_1.gif
http://www.site*****.com/top7_2.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_1.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_2.gif

Скачанные файлы сохраняются под следующими именами:

C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll

В случае успешной загрузки файлы запускаются на выполнение.

Также троянец открывает следующую ссылку без ведома пользователя:

http://pag*****.terra.com.br/arte/sonhosep...o/cartao059.htm

Источник :http://www.securitylab.ru/

Сообщение отредактировал ДКА - 16.8.2008, 10:42

[ДКА]

Trojan-Downloader.Win32. Nurech.bz
19 августа, 2008

Троянская программа, которая без ведома пользователя загружает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 7293 байта.

Инсталляция

При запуске троянец внедряет свой код в системный процесс "svchost.exe", а свой оригинальный файл удаляет.

Деструктивная активность

Троянец скачивает файлы по следующим ссылкам:

http://*****trip.org/e.exe
http://*****trip.org/d.exe
http://*****trip.org/p.exe
http://fotballportal.info/*****/fout.php
Файлы сохраняются во временный каталог Windows с временными именами. После чего запускаются на выполнение.

На момент создания описания указанные ссылки не работали.

Также троянец закрывает окна со следующими именами классов:

AVP.Product_Notification

Источник :http://www.securitylab.ru/

P.S. Жаль конечно , что источник не указывает какого рода файлы скачивает троян.

Сообщение отредактировал ДКА - 22.8.2008, 22:08

[argosden]

Если в папке C:\WINDOWS\system32\

появились следующие файлы:

csrcs.exe и cftm.exe советую немеленно удалить их, это трояны

Так же просканируйте реестр на файл csrcs

И ещё, включите показ скрытых файлов и папок и гляньте свою флешку, если там будут скрытые непонятные файлы, так же удалите их, это последствия работы данного троянца. Не буду вдаваться в детали, что это за троян, гугл вам ответы и так даст. Главное то, что я довёл до вашего сведения о данном трояне...

Так же читаем полезную информацию и ТУТ

Сообщение отредактировал argosden - 22.10.2008, 16:36