В итоге разобрался. Сидел на моем компьютере не вирь, а программа для рассылки чего-то там, например, ддос-атак. Признаки:
- антивирь (нод32) молчит,
- афигенный исходящий траффик - такой, что не грузится ася, а пинг до ресурсов вырастает в 100 раз,
- увеличенная нагрузка на память.
Вчера я думал, что меня провайдер подъебывает, поэтому ждал пока они решат свои проблемы. Проблемы остались, поэтому с утра начал лечение.
- установил Agnitum Outpost Firewall,
- слил через другой комп каспера и тоже поставил.
Первая проверка показала, что каспер видит вирь, но убить не может. Вирь носил гордое название Trojan.Win32.Agent.aigs и не удалялся никак. Даже в безопасном режиме. Посему полез на форумы. В итоге прочтения сделал следующее:
- в безопасном режиме в папку Windows положил переименованный calc.exe (переименовал в ntos.exe), это чтобы вирь не создавался. на всякий случай кинул этот файл еще в system32.
- удалил в system32 невидимую папку, как-то wsnpoem - точное название есть на форумах, но в ней лежат audio.dll и video.dll. удалял в безопасном режиме.
- еще в безопасном режиме нашел строку в реестре и отредактировал запись так, как рекомендует Касперский - в конце значения воткнул подчеркивание.
- скачал AVZ 4.30 и установил.
AVZ нашел бэкдор в папке с дистрибутивами на рабочем столе. Я точно этот файл туда не клал. Файл бахнул. Но процесс все равно опять запустился и стал долбиться в файерволл. Пошел качать Ad-Aware. Нашел версию personal. Ужасно старую, зато работающую. Запустил и нашел еще две уязвимости: кукис с рамблера и ключ, запрещающий просмотр реестра. Убил обе.
Сейчас вроде все. Купил каспера, жду ключ. Предстоит еще чистить второй компьютер, но там попроще все, он под проксей и не мешает работать.
Уфф. А еще вторые сутки болит рука - видимо, мышца ущемилась на спине. И сервак один провис. И кредит просрочен. И денег не вывести толком. И клиенты не заплатили до сих. И мы сегодня не смогли расплатиться из-за отсутствия нормального инета.
Зато долг вернули. Ладно, пора работать.
Телефон агентства Баблоруба REMARKA: 8-800-333-06-80 (бесплатно для РФ) / Заказать поисковое продвижение, настройку контекстной рекламы, SMM
среда, 22 октября 2008 г.
Убиваем агента на своем компе
18:29
Комментариев: 9
Твитнуть
Популярные сообщения
-
Два канала для тех, кто интересуется моей профессиональной и не только деятельностью. Заметки о маркетинге для чайников: https://t.me/market...
-
В начале года у меня был эксперимент: можно ли ссылочным агрегатором вывести быстро сайт в топ. Оказалось, что можно, но выводится сайт тол...
-
Возник такой вопрос в одном из обсуждений в фейсбуке. Я считаю, что глупо тиранить кандидата вопросами про то, что такое релевантность или ...
-
Что такое той-терьер? Это зазипованный доберман, которого мне всегда хотелось иметь, но не было достаточно места. На этом, правда, все сходс...
-
Думаете нереально? Это всего 330 баксов в день. А что такое 330 в день? Порассуждаем. Сиджи приносят мне траффик, который я продаю за 4.50 в...
-
Все как всегда. Любые ваши вопросы здесь в комментариях. И мои на них ответы в следующем посте. Февральское роадшоу тут .
-
Все как обычно. Ваши вопросы на любые темы в комментариях. В следующем посте - ответы на них. Последнее роадшоу в Январе .
-
Вчера был свидетелем сцены, когда инвестор предлагал соинвестирование другому человеку. И когда тот попросил пару минут на звонок супруге, ...
-
И снова ваши вопросы в студию. На любые темы. Пишете их в комментарии, ответы смотрите в следующем посте через неделю-полторы. Предыдущее ро...
-
Немного забросил блог, так как работы навалилось больше прежнего. Компания выросла в два раза за полтора месяца, число клиентов почти в два...
9 коммент.:
Не проще ли было скачать бесплатну утилиту Dr.Web CureIt! http://freedrweb.com/ и все вылечить? :-)
Я например даже скачат ьничего не могу. Только торрент потихоньку. И так уже четвертую неделю. Может тоже этот-же вирь?
Антивирусы данную зверюшку не видят. Читайте пост внимательно! Ищем руками и глазами.
Пипец... нас тоже фин кризис затронул... это по поводу кредитов и холдов =)
а трои, сцуко, надоедливые... развелось adware и прочей нечисти в инете...
Это видимо Зеус был судя по audio.dll и video.dll ну это не просто дос бот, он ещё воровать может всякую инфу...платежи проводить на другие счета и прочее...вообщем опасная кака...
Как насчёт www.FreeDrWeb.com? Жаль, теперь не проверить...
Самая главная программа, которая должна быть на компе - Acronis True Image.
Делаете полную копию диска С. При подозрении на троян или при невозможности удалить вирус, запускаете ее.
Ваш комп, через несколько минут, снова чист и быстр.
Сам пользуюсь постоянно. На варезных порталах прогу найти можно без проблем.
Блин, и у меня такое твориццо, надо щас решить, так все весит и траф вообще...
Вот чёрт, уже 2 раза встречался с подобными вещами, теребил весь яндекс и гугль, дня 2, так ничего и не нашел, спасал снос винды, спасибо огромное! :)
Кстати ни один антивирус или даже КИСа(при ней кстати заразился), лицензионная КИСа, не говорили что за процесс так гонит траффик, одна только прога-мониторщик процессов от Auslogics показала активность процесса "без файла" - system. Походу это и подтверждает Ваши слова о файлах audio.dll и video.dll
Отправить комментарий