Вход на сайт
нападают трояны и вирусы(продолжение)
27.09.04 00:50
Господа, кто может дельный совет дать.
Вчера поставил винд (ХПпро)
Вылез сразу в инет через т-онлайн, експлорер не трогал.
Через 10 минут - вс╦ стало виснуть, тормозить и окошки открываться. Всякие.
Сегодня поставил касперского, в абгесихерте модус он мне удалил сотню с небольшим троянов червей и вирусив. Сделал апдейт касперского и винда.
Но.
как только выхожу в инет - открываются самопроизвольно три окошка експлорера, и каждые три минуты касперский сообщает :
<Achtung! Ein Backdoor(Netwurm, troyaner) wurde gefunden. Der Zugriff auf Objekt C:\Windows\system32\tftp2284 wurde gesperrt. Objekt ist Backdoor programm Bacjdoor.Win32.Rbot.gen Wir empfehlen dieses Objekt zu löshen....>
Иногда Касперский говорит что удалить можно только при перезапуске компа.
Кто знает - в ч╦м причина появления новых троянеров и червей при каждом выходе в инет и что ещ╦ к касперскому в дополнение поставить, чтобы с этим всем покончить?
Спасибо
Вчера поставил винд (ХПпро)
Вылез сразу в инет через т-онлайн, експлорер не трогал.
Через 10 минут - вс╦ стало виснуть, тормозить и окошки открываться. Всякие.
Сегодня поставил касперского, в абгесихерте модус он мне удалил сотню с небольшим троянов червей и вирусив. Сделал апдейт касперского и винда.
Но.
как только выхожу в инет - открываются самопроизвольно три окошка експлорера, и каждые три минуты касперский сообщает :
<Achtung! Ein Backdoor(Netwurm, troyaner) wurde gefunden. Der Zugriff auf Objekt C:\Windows\system32\tftp2284 wurde gesperrt. Objekt ist Backdoor programm Bacjdoor.Win32.Rbot.gen Wir empfehlen dieses Objekt zu löshen....>
Иногда Касперский говорит что удалить можно только при перезапуске компа.
Кто знает - в ч╦м причина появления новых троянеров и червей при каждом выходе в инет и что ещ╦ к касперскому в дополнение поставить, чтобы с этим всем покончить?
Спасибо
NEW 27.09.04 00:59
в ответ leo_von_Piter 27.09.04 00:55
Мне вот такой нравится 
http://www.agnitum.com/ru/products/outpost/
Но по идее должен любой работать.
Седалищный нерв очень тонко чувствует приближающиеся приключения
http://www.agnitum.com/ru/products/outpost/Но по идее должен любой работать.
Седалищный нерв очень тонко чувствует приближающиеся приключения
Ваш сын Дядя Шарик.
NEW 27.09.04 02:32
в ответ sweiger 27.09.04 00:59
Пасип -я поставил на уровень: <fast alles blockieren>.
При выходе в инет снова три окошка стартовали експлорера с непонятной и явно нежелательной страницей...
Посмотрю дальше как оно - касперский стоит, фаервол стоит, антишпионские стоят, вс╦ обновил только что...
При выходе в инет снова три окошка стартовали експлорера с непонятной и явно нежелательной страницей...
Посмотрю дальше как оно - касперский стоит, фаервол стоит, антишпионские стоят, вс╦ обновил только что...
NEW 27.09.04 09:33
в ответ leo_von_Piter 27.09.04 07:04
Какие антишпионские программы используешь?
Попробуй Ad-aware и Spybot Searsh&Destroy.
Аутпост фаервол установи в режим обучения, тогда он будет запрашивать разрешение на каждое входящее и исходящее соединение. Блокируй всё лишнее. Сначала можно блокировать однократно и смотреть, что будет происходить, если нужного соединения не будет, то разрешаешь однократно, пока не настроишь его фильтровать все соединения.
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
Попробуй Ad-aware и Spybot Searsh&Destroy.
Аутпост фаервол установи в режим обучения, тогда он будет запрашивать разрешение на каждое входящее и исходящее соединение. Блокируй всё лишнее. Сначала можно блокировать однократно и смотреть, что будет происходить, если нужного соединения не будет, то разрешаешь однократно, пока не настроишь его фильтровать все соединения.
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
"Im Jahr der Wirren gehe nichtstreng mit dem Bruder ins Gericht.""Der Stille Don" M.Sch.
NEW 27.09.04 09:59
в ответ Waldemar001 27.09.04 09:33
<PestPatrol> поставил - он не находит.
Попробую <Ad-aware>.
В принципе не страшно сейчас - касперский при заходе в инет ловит и стирает этот троян и проблем нету, при перезапуске компа, троян опять на месте. Ну и при старте винда медиплеер стартует сам собою. при входе в инет - страничка с милым названием - "геноцид" открывается в екплорере, сама по себе.
Просто хочется до конца уже доделать...
Попробую <Ad-aware>.
В принципе не страшно сейчас - касперский при заходе в инет ловит и стирает этот троян и проблем нету, при перезапуске компа, троян опять на месте. Ну и при старте винда медиплеер стартует сам собою. при входе в инет - страничка с милым названием - "геноцид" открывается в екплорере, сама по себе.
Просто хочется до конца уже доделать...
NEW 27.09.04 11:53
в ответ leo_von_Piter 27.09.04 09:59
У тебя там, похоже, целый букет, почитай тут, там про подмену странички http://i2r.rusfund.ru/static/547/out_15865.shtml
Седалищный нерв очень тонко чувствует приближающиеся приключения
Седалищный нерв очень тонко чувствует приближающиеся приключения
Ваш сын Дядя Шарик.
NEW 27.09.04 11:59
в ответ leo_von_Piter 27.09.04 09:59
И ещ╦ посмотри, во время инсталляции аутпоста созда╦тся список программ, которые могут выходить в инет, глянь, не попало ли туда ничего лишнего, чему в интернете делать вообще нечего.
Седалищный нерв очень тонко чувствует приближающиеся приключения
Седалищный нерв очень тонко чувствует приближающиеся приключения
Ваш сын Дядя Шарик.
NEW 27.09.04 12:08
в ответ sweiger 27.09.04 11:59
я создал 20 папок копий тех которые с комар нет скачивали и начал проверять антивирусами...... результат ешё хуже оказался чем когда одну папку сканиш.... короче, я в растройсте 
Альпийский ВЕЛОпоход!!!
http://okean.de/forum/thread.php?id=8973&type=Clan
NEW 27.09.04 13:27
в ответ sweiger 27.09.04 11:53
Спасибо - очень толковое описание, для таких как я даже почти вс╦ понятно.
Поскажите тока плиз -там стоит:
Затем, с помощью утилиты <msconfig.exe> проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название - набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки...
Как стартовать ету утилиту?
<Start - Ausführen - msconfig.exe ? >
Поскажите тока плиз -там стоит:
Затем, с помощью утилиты <msconfig.exe> проверьте всю автозагрузку и либо отключите загрузку обнаруженной вредоносной программы (обычно это программа, назначение которой вам неясно, или которая имеет абсурдное название - набор цифр, например), либо, если визуально определить виновника невозможно, то отключите вообще все программы из автозагрузки...
Как стартовать ету утилиту?
<Start - Ausführen - msconfig.exe ? >
NEW 27.09.04 14:11
в ответ leo_von_Piter 27.09.04 13:27
Точно! Но это только в WinXP, если у тебя другая ос, то можно посмотреть автозагрузку при помощи какой-нибудь другой программы, например jv16 PowerTools, RegCleaner.
Или если ничего вышеперечисленного нет, то вот
<--------------
Седалищный нерв очень тонко чувствует приближающиеся приключения
Или если ничего вышеперечисленного нет, то вот
<--------------
Седалищный нерв очень тонко чувствует приближающиеся приключения
Прикреплённые файлыВаш сын Дядя Шарик.
NEW 27.09.04 14:15
в ответ leo_von_Piter 27.09.04 13:27
Именно в такой последовательности как ты и описал
1. Кнопка Старт (Start)
2. Выполнить (Ausführen)
3. Вводим ручками msconfig
4. Жмем на Энтер или Выполнить (Ausführen)
Снаряды носите бережно - пусть вас видят, а не помнят!
http://www.urasbajew.de
1. Кнопка Старт (Start)
2. Выполнить (Ausführen)
3. Вводим ручками msconfig
4. Жмем на Энтер или Выполнить (Ausführen)
Снаряды носите бережно - пусть вас видят, а не помнят!
http://www.urasbajew.de
Снаряды носите бережно, пусть вас видят, а не помнят!!!http://uzbek01.blogspot.com
NEW 27.09.04 14:29
в ответ leo_von_Piter 27.09.04 00:50
В XP уже придусмотрена первоначальная защита, только она почемуто не устанавливаеться по умолчанию, нужно ее открыжеть до захода , там где происходит подключение в сеть.
http://www.zvuki.ru/mp3stream.m3u?http://dl.zvuki.ru/2/2853/mp3/1.mp3
http://www.zvuki.ru/mp3stream.m3u?http://dl.zvuki.ru/2/2853/mp3/1.mp3
NEW 27.09.04 15:04
в ответ sweiger 27.09.04 14:11
Пасип -вс╦ сделал и адваре и таскинфо поставил и запустил и <msconfig> там убрал из автозагрузки две подозрительные программки, остальные все похожи на нормальные...
пока вс╦ по прежнему - при старте винда вылезает медиаплеер, при запуске интернета, тот же троян и те же три странички в екплорере. Дальше пойду по порядку твою ссылку выполнять, инструкцию там...
пока вс╦ по прежнему - при старте винда вылезает медиаплеер, при запуске интернета, тот же троян и те же три странички в екплорере. Дальше пойду по порядку твою ссылку выполнять, инструкцию там...
NEW 27.09.04 15:22
в ответ Uzbek 27.09.04 14:15
ещ╦ вопрос чайника к этой фразе из инструкции:
Файлы подключаемых модулей-плагинов находятся в папке Ц:\Програм Филес\Интернет Ехплорер\Плугинс - по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат
Как это сделать - открыть папку ету не могу, говорит нет доступа...И что папка пустая, если правой мышкой кликнуть(знаю-вр╦т).
Как в ХП зайти администратором??????
Вот система - руутом не зайти...
Файлы подключаемых модулей-плагинов находятся в папке Ц:\Програм Филес\Интернет Ехплорер\Плугинс - по свойствам каждого файла можно выяснить его предназначение. Временно удалите все файлы из этой папки и посмотрите результат
Как это сделать - открыть папку ету не могу, говорит нет доступа...И что папка пустая, если правой мышкой кликнуть(знаю-вр╦т).
Как в ХП зайти администратором??????
Вот система - руутом не зайти...
NEW 27.09.04 15:40
в ответ leo_von_Piter 27.09.04 00:50
сервис пак 2 стоит?
альтернативу дырке ехплореру не пробовал?
http://www.mozilla.org/products/firefox/
"Der Hund bellt►die Karawane geht weiter"
альтернативу дырке ехплореру не пробовал?
http://www.mozilla.org/products/firefox/
"Der Hund bellt►die Karawane geht weiter"
cuique suum
NEW 27.09.04 18:54
в ответ molodes 27.09.04 15:40
сервис пак стоит
Мозилла - да я поставил, но проблемы не решает, система уже работает стабильно, троянер блокируется касперским после выхода в инет.
Удалить его - не выходит, но и хрен с ним, я сдался...
Либо буду жить так, либо найду силы вс╦ поставить заново ночью - по порядку, вначале защита, а уж потом нос в инет высуну.
Всем спасибо!
Мозилла - да я поставил, но проблемы не решает, система уже работает стабильно, троянер блокируется касперским после выхода в инет.
Удалить его - не выходит, но и хрен с ним, я сдался...
Либо буду жить так, либо найду силы вс╦ поставить заново ночью - по порядку, вначале защита, а уж потом нос в инет высуну.
Всем спасибо!
NEW 28.09.04 10:39
в ответ leo_von_Piter 27.09.04 18:54
Ну как дела с трояном? Удалил?
Если ад-аваре не берёт, попробуй Spybot Searsh&Destroy.
Бывает удалеят то, что ад-аваре и антивирусники даже не находят.
Если не удастся удалить, то тогда можно попробовать вручную.
Каспер выдаёт точный адрес где сидит троян.
Иногда он правда врёт, показывает, что нашёл вирус, но удалить не может.
Смотрю в папку на которую он даёт точную ссылку и чтож?, такого файла нет.
Даю поиск по системе, не находит. Запускаю все какие можно программы, нет вируса. Провожу полную проверку системы тем же Касперским, но он ничего не находит.
Значит он удалил всё-таки вирус и выдал ложное сообщение, что удалить не может или вируса не было и сообщение всё равно ложное.?!
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
Если ад-аваре не берёт, попробуй Spybot Searsh&Destroy.
Бывает удалеят то, что ад-аваре и антивирусники даже не находят.
Если не удастся удалить, то тогда можно попробовать вручную.
Каспер выдаёт точный адрес где сидит троян.
Иногда он правда врёт, показывает, что нашёл вирус, но удалить не может.
Смотрю в папку на которую он даёт точную ссылку и чтож?, такого файла нет.
Даю поиск по системе, не находит. Запускаю все какие можно программы, нет вируса. Провожу полную проверку системы тем же Касперским, но он ничего не находит.
Значит он удалил всё-таки вирус и выдал ложное сообщение, что удалить не может или вируса не было и сообщение всё равно ложное.?!
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
"Im Jahr der Wirren gehe nichtstreng mit dem Bruder ins Gericht.""Der Stille Don" M.Sch.
NEW 29.09.04 04:40
в ответ Waldemar001 28.09.04 10:39
Сделал апдейт адваре, после этого вс╦ было найдено, последнее, чего касперский не видел и адваре раньше.
Теперь вс╦ о.к., даже супер.
кстати - я покопался в системе, наш╦л программу под названием: <lssrv.exe>, которая на мой взгляд была подозрительна. Это уже после удаления трояна, когда счастье наступило.
Так вот - я для експеримента, поменял в фаерволе установке, раньше этой программе в сеть ходить я запретил, а тут разрешил из интереса. Через 15 секунд началось - комп наполнили трояны.
Удалять ету программу вс╦ ж таки страшновато - это точно не системный файл?
Ета программа кстати и при запуске винда запускалась раньше автоматом, я ей тоже это запретил пару дней назад.
Гугл меня ничему не научил, не находит сведений об этой программе
Может знает кто - стирать е╦, или не в ней дело, а это кто-то е╦ использует нехороший в своих ч╦рных целях?
Теперь вс╦ о.к., даже супер.
кстати - я покопался в системе, наш╦л программу под названием: <lssrv.exe>, которая на мой взгляд была подозрительна. Это уже после удаления трояна, когда счастье наступило.
Так вот - я для експеримента, поменял в фаерволе установке, раньше этой программе в сеть ходить я запретил, а тут разрешил из интереса. Через 15 секунд началось - комп наполнили трояны.
Удалять ету программу вс╦ ж таки страшновато - это точно не системный файл?
Ета программа кстати и при запуске винда запускалась раньше автоматом, я ей тоже это запретил пару дней назад.
Гугл меня ничему не научил, не находит сведений об этой программе
Может знает кто - стирать е╦, или не в ней дело, а это кто-то е╦ использует нехороший в своих ч╦рных целях?
NEW 29.09.04 12:48
в ответ leo_von_Piter 29.09.04 04:40
Вообще то системный файл называется llssrv.exe
Вот что пишут немцы на форуме,
Lade Dir ein aktuelles Antiviren-Programm herunter (z.B. Antivir) und lasse dann den PC scannen. Ich erkenne eine RBOT-Infektion (O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe)
Dieser Eintrag muss auf alle Fälle raus und die entsprechende Datei (lssrv.exe) muss gelöscht werden.
http://www.rokop-security.de/board/index.php?s=98f214bad8435c992bb632d05cd12b16&...
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
Вот что пишут немцы на форуме,
Lade Dir ein aktuelles Antiviren-Programm herunter (z.B. Antivir) und lasse dann den PC scannen. Ich erkenne eine RBOT-Infektion (O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe)
Dieser Eintrag muss auf alle Fälle raus und die entsprechende Datei (lssrv.exe) muss gelöscht werden.
http://www.rokop-security.de/board/index.php?s=98f214bad8435c992bb632d05cd12b16&...
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
"Im Jahr der Wirren gehe nichtstreng mit dem Bruder ins Gericht.""Der Stille Don" M.Sch.
NEW 29.09.04 22:15
в ответ leo_von_Piter 29.09.04 21:43
У меня каспер тоже многого не находит, ад-аваре находит дополнительно пару троянов, после него Spybot находит ещ╦ несколько шпионов, но так ничего страшного в основном кукис. Вот после пользования Оперой тоже.
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
Прикреплённые файлы"Im Jahr der Wirren gehe nichtstreng mit dem Bruder ins Gericht.""Der Stille Don" M.Sch.
NEW 29.09.04 23:25
в ответ Waldemar001 29.09.04 12:48
[Microsoft Services] lssrv.exe)
Dieser Eintrag muss auf alle Fälle raus und die entsprechende Datei (lssrv.exe) muss gelöscht werden.
----------
а что это вообще такое!? "lssrv.exe и lssrv.exe" ???
откуда они берутся и за что они отвечают???
<--- у меня они тоже имеются
Dieser Eintrag muss auf alle Fälle raus und die entsprechende Datei (lssrv.exe) muss gelöscht werden.
----------
а что это вообще такое!? "lssrv.exe и lssrv.exe" ???
откуда они берутся и за что они отвечают???
<--- у меня они тоже имеются
Прикреплённые файлыhttp://www.design-xxl.de
NEW 29.09.04 23:50
в ответ www.basarnet.de 29.09.04 23:25
У тебя другие файлы.
lsass.exe cистемный процесс, хотя есть и вирус под таким именем, называется так потому, что останавливает этот процесс. Наиболее известное и обобщёное его имя SASSER, почитай гугле, там много чего интересного и поучительного.
http://www.google.ru/search?hl=ru&ie=UTF-8&q=lsass.exe&btnG=%D0%9F%D0%BE%D0%B8%D...
http://www.securitylab.ru/tools/45045.html
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
lsass.exe cистемный процесс, хотя есть и вирус под таким именем, называется так потому, что останавливает этот процесс. Наиболее известное и обобщёное его имя SASSER, почитай гугле, там много чего интересного и поучительного.
http://www.google.ru/search?hl=ru&ie=UTF-8&q=lsass.exe&btnG=%D0%9F%D0%BE%D0%B8%D...
http://www.securitylab.ru/tools/45045.html
"Im Jahr der Wirren gehe nicht
streng mit dem Bruder ins Gericht."
"Der Stille Don" M.Sch.
"Im Jahr der Wirren gehe nichtstreng mit dem Bruder ins Gericht.""Der Stille Don" M.Sch.
