Как начать пользоваться школой!

Интересно? Полезно?
Подпишись на обновления в блоге одним кликом!
Реклама на блоге
Начинаем знакомство с лучших постов
Бронирование гостиниц
Продвижение сайтов


Rambler's Top100
Рейтинг блогов

Powered by  MyPagerank.Net
Яндекс цитирования

Моя аська: 155ноль54семь9 (всегда invisible)
Мой скайп: remarka.reklama
Мой емайл: masterxbablorub@gmail.com

среда, 22 октября 2008 г.

Убиваем агента на своем компе

В итоге разобрался. Сидел на моем компьютере не вирь, а программа для рассылки чего-то там, например, ддос-атак. Признаки:
- антивирь (нод32) молчит,
- афигенный исходящий траффик - такой, что не грузится ася, а пинг до ресурсов вырастает в 100 раз,
- увеличенная нагрузка на память.

Вчера я думал, что меня провайдер подъебывает, поэтому ждал пока они решат свои проблемы. Проблемы остались, поэтому с утра начал лечение.

- установил Agnitum Outpost Firewall,
- слил через другой комп каспера и тоже поставил.

Первая проверка показала, что каспер видит вирь, но убить не может. Вирь носил гордое название Trojan.Win32.Agent.aigs и не удалялся никак. Даже в безопасном режиме. Посему полез на форумы. В итоге прочтения сделал следующее:

- в безопасном режиме в папку Windows положил переименованный calc.exe (переименовал в ntos.exe), это чтобы вирь не создавался. на всякий случай кинул этот файл еще в system32.
- удалил в system32 невидимую папку, как-то wsnpoem - точное название есть на форумах, но в ней лежат audio.dll и video.dll. удалял в безопасном режиме.
- еще в безопасном режиме нашел строку в реестре и отредактировал запись так, как рекомендует Касперский - в конце значения воткнул подчеркивание.
- скачал AVZ 4.30 и установил.

AVZ нашел бэкдор в папке с дистрибутивами на рабочем столе. Я точно этот файл туда не клал. Файл бахнул. Но процесс все равно опять запустился и стал долбиться в файерволл. Пошел качать Ad-Aware. Нашел версию personal. Ужасно старую, зато работающую. Запустил и нашел еще две уязвимости: кукис с рамблера и ключ, запрещающий просмотр реестра. Убил обе.

Сейчас вроде все. Купил каспера, жду ключ. Предстоит еще чистить второй компьютер, но там попроще все, он под проксей и не мешает работать.

Уфф. А еще вторые сутки болит рука - видимо, мышца ущемилась на спине. И сервак один провис. И кредит просрочен. И денег не вывести толком. И клиенты не заплатили до сих. И мы сегодня не смогли расплатиться из-за отсутствия нормального инета.

Зато долг вернули. Ладно, пора работать.


9 коммент.:

Не проще ли было скачать бесплатну утилиту Dr.Web CureIt! http://freedrweb.com/ и все вылечить? :-)

Я например даже скачат ьничего не могу. Только торрент потихоньку. И так уже четвертую неделю. Может тоже этот-же вирь?

Антивирусы данную зверюшку не видят. Читайте пост внимательно! Ищем руками и глазами.

Пипец... нас тоже фин кризис затронул... это по поводу кредитов и холдов =)

а трои, сцуко, надоедливые... развелось adware и прочей нечисти в инете...

Это видимо Зеус был судя по audio.dll и video.dll ну это не просто дос бот, он ещё воровать может всякую инфу...платежи проводить на другие счета и прочее...вообщем опасная кака...

Как насчёт www.FreeDrWeb.com? Жаль, теперь не проверить...

Самая главная программа, которая должна быть на компе - Acronis True Image.
Делаете полную копию диска С. При подозрении на троян или при невозможности удалить вирус, запускаете ее.
Ваш комп, через несколько минут, снова чист и быстр.
Сам пользуюсь постоянно. На варезных порталах прогу найти можно без проблем.

Блин, и у меня такое твориццо, надо щас решить, так все весит и траф вообще...

Вот чёрт, уже 2 раза встречался с подобными вещами, теребил весь яндекс и гугль, дня 2, так ничего и не нашел, спасал снос винды, спасибо огромное! :)
Кстати ни один антивирус или даже КИСа(при ней кстати заразился), лицензионная КИСа, не говорили что за процесс так гонит траффик, одна только прога-мониторщик процессов от Auslogics показала активность процесса "без файла" - system. Походу это и подтверждает Ваши слова о файлах audio.dll и video.dll

Отправить комментарий

Популярные сообщения

Эту страницу: Twitter Facebook Favorites More