Опять червь? Или у меня мания преследования?...

← →
CyberFreak (2004-01-11 21:48) [0]

Доброй вечер!
Подозреваю что подцепил червя. Начну по порядку.
Началось все с того, что у чела из моей локалки перестал рабоать инет (GPRS, не дозванивается и все тут), при чем ни с того ни ссего. Ну я смотрел-смотрел, вроде все в поряде, рещил уж напоследок посмотреть запущенные процессы (prcview.exe). Обнаружил некий rsvp.exe, который вызвал подозрения, посмотрел описание его версии - написано WinNT, хм... у чела Win98. Потом посмотрел у себя, бац! и у меня тоже такой имеется. И еще locator.exe впридачу какой-то. Поискал в инете инфу, вроде пишут что системная байда, но я скока работаю с WinXP первый раз вижу... хотя могу и ошибаться. Но больше всего меня настораживает то, что Registry Monitor от Sysinternals показывает, что explorer.exe напару с lsass.exe каждую секунду лезут в инет, а в результатах их попыток помимо SUCCESS и NOTFOUND так непринужденно проскальзывет BUFOVRFLOW... Из симптомов пока тока один, аська как-то настойчиво и переодично умирает, чего раньше за ней не наблюдалось. Ну а чела инет не пашет. Что это может быть?

ЗЫ Просьба не советовать переустановить драйвер hands.sys, пробовал - не помогает =)

← →
CyberFreak (2004-01-11 21:55) [1]

Во! File Monitor все от того же Sysinternals показывает, что explorer.exe и тут BUFFER OVERFLOW"ы создает, а еще на все мои харды FileFsQuotaSetInformation... хм... я уже начинаю нервничать

← →
CyberFreak (2004-01-11 22:09) [2]

лююююююююююди!!! ну не дайте загнуться чайнику

← →
Rouse_ (2004-01-11 22:15) [3]

Ну а антивир то что говорит?
А то ты как человек приговоренный к расстрелу талдычишь - Не Стреляй!!!
Делать то сам что пытался?
Файрвол для чего придумали?

← →
CyberFreak (2004-01-11 22:21) [4]

антивира под рукой нету, тока не предлагайте мне его сейчас скачивать, мне это по GPRS влетит в копеечку.
Че делать пытался?.. Сижу вот и смотрю. Explorer.exe попрежнему вызывет BUFFER OVERFLOW как через реестр, так и через обращение к дискам.
Файрвол, ИМХО, на данной стадии мало чем поможет.

← →
Rouse_ (2004-01-11 22:39) [5]

> Файрвол, ИМХО, на данной стадии мало чем поможет.
Тебе без адвоката, или сам поймешь...

Ну не городи глупости...
1. Ставим файр, лочим все что нам не нужно идет на внешку... - этим защищаем сеть (внутренний спуффинг врятли в троянах предусмотрен)...
2. Отключаем все из автозагрузки... (как простейщий вариант троян может там спрятаться)
3. Берем Starter - смотрим что еще не отключено...
4. Смотрим все виртуальные устройства... те - которые недавно появились - удаляем нафих
5. Ставим антивир (если жалко 4 мб траффика из-за нескольких Гигов информации, то тут уже я не помогу)
6. Проверяем все что есть, заканчивая самыме примитивные загрузочные дискеты что хранятся у тебя в сейфе...
7. После этого говорим Пфффуууууу....
8. Продолжаем работать...

Желаю успехов

← →
имя (2004-01-11 22:50) [6]

Удалено модератором

← →
имя (2004-01-11 22:55) [7]

Удалено модератором

← →
Holy (2004-01-12 00:08) [8]

> CyberFreak

Антивир всегда нужно держать под рукой. Фаирвол (рекомендую Outpost www.agnitum.com) поможет не только блокировать ломление в сеть троянов, но и избавит от рекламы и всплывающих окон, что при сидении через GPRS экономит In/Out-трафик.
И вообще, ИМХО, выход в сеть без комплекта антивир+фаирвол гимор. А с ними на душе спокойней. Если сам руками заразу не затянешь, то сама она с трудом пробивается...

Опять червь? Или у меня мания преследования?... Найти похожие ветки