В итоге разобрался. Сидел на моем компьютере не вирь, а программа для рассылки чего-то там, например, ддос-атак. Признаки:
- антивирь (нод32) молчит,
- афигенный исходящий траффик - такой, что не грузится ася, а пинг до ресурсов вырастает в 100 раз,
- увеличенная нагрузка на память.
Вчера я думал, что меня провайдер подъебывает, поэтому ждал пока они решат свои проблемы. Проблемы остались, поэтому с утра начал лечение.
- установил Agnitum Outpost Firewall,
- слил через другой комп каспера и тоже поставил.
Первая проверка показала, что каспер видит вирь, но убить не может. Вирь носил гордое название Trojan.Win32.Agent.aigs и не удалялся никак. Даже в безопасном режиме. Посему полез на форумы. В итоге прочтения сделал следующее:
- в безопасном режиме в папку Windows положил переименованный calc.exe (переименовал в ntos.exe), это чтобы вирь не создавался. на всякий случай кинул этот файл еще в system32.
- удалил в system32 невидимую папку, как-то wsnpoem - точное название есть на форумах, но в ней лежат audio.dll и video.dll. удалял в безопасном режиме.
- еще в безопасном режиме нашел строку в реестре и отредактировал запись так, как рекомендует Касперский - в конце значения воткнул подчеркивание.
- скачал AVZ 4.30 и установил.
AVZ нашел бэкдор в папке с дистрибутивами на рабочем столе. Я точно этот файл туда не клал. Файл бахнул. Но процесс все равно опять запустился и стал долбиться в файерволл. Пошел качать Ad-Aware. Нашел версию personal. Ужасно старую, зато работающую. Запустил и нашел еще две уязвимости: кукис с рамблера и ключ, запрещающий просмотр реестра. Убил обе.
Сейчас вроде все. Купил каспера, жду ключ. Предстоит еще чистить второй компьютер, но там попроще все, он под проксей и не мешает работать.
Уфф. А еще вторые сутки болит рука - видимо, мышца ущемилась на спине. И сервак один провис. И кредит просрочен. И денег не вывести толком. И клиенты не заплатили до сих. И мы сегодня не смогли расплатиться из-за отсутствия нормального инета.
Зато долг вернули. Ладно, пора работать.
Телефон агентства Баблоруба REMARKA: 8-800-333-06-80 (бесплатно для РФ) / Заказать поисковое продвижение, настройку контекстной рекламы, SMM
среда, 22 октября 2008 г.
Убиваем агента на своем компе
18:29
Комментариев: 9
Твитнуть
Популярные сообщения
-
Что совсем не типично для рубрики "законы", я постараюсь немного объяснить данные принципы. Звучат же они так: Принцип 1С : "...
-
Два канала для тех, кто интересуется моей профессиональной и не только деятельностью. Заметки о маркетинге для чайников: https://t.me/market...
-
В начале года у меня был эксперимент: можно ли ссылочным агрегатором вывести быстро сайт в топ. Оказалось, что можно, но выводится сайт тол...
-
В свое время мне в разное время предлагали заниматься продажей кранов и плитки оптом за процент. Ну как продажей, генерацией лидов через Ин...
-
А вдруг не знали. http://webline.blog/ltv-zhiznennyj-czikl-klienta/
-
Я веду небольшое число клиентов сам. Это исключительно многостраничные проекты. Одна из проблем таких проектов - нет, не семантика - отсутс...
-
Решил объединить вопросы за два месяца в один, ибо в целом их получилось немного. Видимо, погода влияет. Вопрос по СЕО. Клиент торгует товар...
-
И снова ваши вопросы в студию. На любые темы. Пишете их в комментарии, ответы смотрите в следующем посте через неделю-полторы. Предыдущее ро...
-
В Чёрную пятницу друзья из @netpeaksoftware объявили две грандиозные новости: скидка 60% и предпродажа нового SEO-продукта Owlymate ! 🤩 ...
-
Привет, как считаешь- пипец уже нашей экономике и благосостоянию граждан?) Куда податься, где найти бабло ру-сеошнику? Клиенты отваливаютс...
9 коммент.:
Не проще ли было скачать бесплатну утилиту Dr.Web CureIt! http://freedrweb.com/ и все вылечить? :-)
Я например даже скачат ьничего не могу. Только торрент потихоньку. И так уже четвертую неделю. Может тоже этот-же вирь?
Антивирусы данную зверюшку не видят. Читайте пост внимательно! Ищем руками и глазами.
Пипец... нас тоже фин кризис затронул... это по поводу кредитов и холдов =)
а трои, сцуко, надоедливые... развелось adware и прочей нечисти в инете...
Это видимо Зеус был судя по audio.dll и video.dll ну это не просто дос бот, он ещё воровать может всякую инфу...платежи проводить на другие счета и прочее...вообщем опасная кака...
Как насчёт www.FreeDrWeb.com? Жаль, теперь не проверить...
Самая главная программа, которая должна быть на компе - Acronis True Image.
Делаете полную копию диска С. При подозрении на троян или при невозможности удалить вирус, запускаете ее.
Ваш комп, через несколько минут, снова чист и быстр.
Сам пользуюсь постоянно. На варезных порталах прогу найти можно без проблем.
Блин, и у меня такое твориццо, надо щас решить, так все весит и траф вообще...
Вот чёрт, уже 2 раза встречался с подобными вещами, теребил весь яндекс и гугль, дня 2, так ничего и не нашел, спасал снос винды, спасибо огромное! :)
Кстати ни один антивирус или даже КИСа(при ней кстати заразился), лицензионная КИСа, не говорили что за процесс так гонит траффик, одна только прога-мониторщик процессов от Auslogics показала активность процесса "без файла" - system. Походу это и подтверждает Ваши слова о файлах audio.dll и video.dll
Отправить комментарий