Форум: "Прочее";
Текущий архив: 2006.03.12;
Скачать: [xml.tar.bz2];

Вниз

Что делать с трояном?   Найти похожие ветки 

← →
Knight ©   (2006-02-14 18:32) [0]

Поймал тут один знакомый Дилера, который меняет настройки удалённого доступа (номер, логин... и прочее). Прогнал Каспером, Авастом, несколькими ТроянРемуверами, каждый что-то нашёл и удалил... гадость всё-равно от куда-то вылезла... сделал восстановление через sfc, переставил IE, перерыл реестр... некоторое время нет, потом снова всё изменяется... осталось только систему переставить.

---

← →
kaZaNoVa ©   (2006-02-14 18:49) [1]

что за троян? запусти на VMware  и изучи .....

---

← →
umbra ©   (2006-02-14 19:02) [2]

если есть сеть, то он оттуда появляется. надо найти его описание и в соответствии с описанием закрыть ему вход в систему

---

← →
DillerXX ©   (2006-02-14 19:02) [3]

Если после переустановки оно не проявляется, то попробуй закрыть внешние дыры.. фаерволл поставь нормальный, тогда по сети никто не пробьётся.

---

← →
Knight ©   (2006-02-14 19:44) [4]

Сети у него нет... заскочил с инета и прописался, похоже, на ПМЖ :))
До сноса системы %)

---

← →
kaZaNoVa ©   (2006-02-14 19:46) [5]

Knight ©   (14.02.06 19:44) [4]
Сети у него нет
почему? вдруг есть?

сам троян большой? на каком языке написан?

---

← →
Knight ©   (2006-02-14 19:47) [6]

Найти бы его ещё... ничто больше ничего не находит, а оно выскакивает. У меня раз такой залетел при грабинге с тарелки, та же фихня была... систему сносил :(

---

← →
Knight ©   (2006-02-14 19:48) [7]

Нет сети, значит нет.... один, отдельно стоящий комп в квартале... без радиоизернета, блютуса и прочего :)

---

← →
kaZaNoVa ©   (2006-02-14 19:51) [8]

а что за окошко? может попробовать отследить, какая программа его создаёт?

RegMon  FileMon  в помошь ...

---

← →
kaZaNoVa ©   (2006-02-14 19:52) [9]

еще можно посмотреть на импортируемые функции трояна, дизасмнуть, глянуть чё он делает, чтобы знать, как лечить ...

---

← →
Knight ©   (2006-02-14 19:59) [10]

Никаких окон. Просто изменяются настройки удалённого доступа, на какой-то международный номер и прочее. И чтобы посмотреть функции, надо сперва найти, кто это делает :(

---

← →
kaZaNoVa ©   (2006-02-14 21:46) [11]

Knight ©   (14.02.06 19:59) [10]
тогда надо следить за реестром . .найти момент, когда они изменяются

---

← →
Игорь Шевченко ©   (2006-02-14 22:24) [12]

> осталось только систему переставить


не поможет

---

← →
Knight ©   (2006-02-14 22:49) [13]

> [12] Игорь Шевченко ©   (14.02.06 22:24)
> не поможет

Поможет... уже у кого-то так "лечил"... с полным форматом всех игр, чтобы запомнил куда ползать в инете не надо :)))

---

← →
kaZaNoVa ©   (2006-02-14 22:49) [14]

смотря какой троян ..

а вообще, лучше всего забэкапь заранее всё важные данные и переразбей диск .. (форматирование и всё такое) - 99.999% трояна не будет:)

---

← →
Yegorchic ©   (2006-02-14 22:51) [15]

В самом деле, надо знать что за троян.
Вы говорите, что все антивирусы что-то находили. А что за имя у трояна то они писали?

---

← →
Knight ©   (2006-02-14 23:07) [16]

Много разных писали :)))
Но дилера нашёл только Аваст он был только один и в "System Volume Information"... стёр все... теперь уже никто не ругается, но данные диалапа всё-равно изменяюся.

---

← →
Knight ©   (2006-02-14 23:13) [17]

Скачал ещё какой-то "Trojan Guarder Gold Version"... может оно сработает :\

---

← →
Yegorchic ©   (2006-02-14 23:15) [18]

Ну не знаю... я бы, если меня это так мучало - винду переустановил бы...

---

← →
Knight ©   (2006-02-14 23:15) [19]

Поставил у себя... сразу после запуска он сказал, что nwiz.exe это злобный вирус, правда не сказал какой именно... :)))

---

← →
GuAV ©   (2006-02-15 00:18) [20]

Посмотри ехе и длл файлы в системных папках по дате выхода в инет - вряд ли троян перебил свою дату.

---

← →
Knight ©   (2006-02-15 00:34) [21]

Знать ба ещё эту дату...

---

← →
GuAV ©   (2006-02-15 00:40) [22]

Нормальные проги обычно имеют дату их компиляции или другую дату а не дату установки. Меня ка-то этот способ (по дате) действительно выручил.

---

← →
kaZaNoVa ©   (2006-02-15 00:51) [23]

GuAV ©   (15.02.06 0:40) [22]
"уважающий" себя троян своим фалам ставит дату, идентичную системным файлам Windows - у некоторых даже именно такая настройка есть ..  хотя иногда этот способ и срабатывает:)

---

← →
GuAV ©   (2006-02-15 00:58) [24]

> kaZaNoVa

Тот тоже был не тупой (судя по всему, глобальный хук + ole сервер с нерабочей разрегистрацией и авторегистрацией по таймеру + shell extension). И имя не подозрительное. Даже удалить после обнаружения было непросто... Если бы не дата долго бы искал.

---

← →
kaZaNoVa ©   (2006-02-15 19:02) [25]

GuAV ©   (15.02.06 0:58) [24]
а как назывался то?

---

← →
GuAV ©   (2006-02-15 21:57) [26]

> а как назывался то?

Не помню уже.

---

← →
SkyRanger ©   (2006-02-16 01:44) [27]

Скачай www.avast.com поставь он спросит запланировать мол после перезагрузки сканирование. Ответь да и жди... Он должен его найти и изничтожить... Будь он прописан хоть в 10 автозагрузках :)

---

Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.03.12;
Скачать: [xml.tar.bz2];

Наверх

Память: 0.5 MB
Время: 0.012 c