подскажите анти-троян (inject-code)

← →
MASTERPROMA (2007-09-20 22:32) [0]

Стоят DrWeb,Ad-Aware SE,Outpost базы свежайшие

Несколько раз в сутки Outpost (стоит в Блокировать)
говорит изменились компоненты Explorer.exe и логах видно,
что он лезет в инет (раньше Explorer.exe почему-то стоял в правилах),
выкинул его из правил оставил IExplorer.exe , SVCHOST.EXE (windows\system32.)

В логах: explorer.exe ИСХ БЛОКИРОВАНО TCP Запретить любую активность

16.09.2007 23:23:09 lena.ucsd.edu HTTP
18.09.2007 23:25:11 appolage.org HTTP
19.09.2007 23:26:06 unexceptional.arts.uci.edu
19.09.2007 23:26:05 www.librezale.org

Как программеру мне это не нравится, трояны используют inject и
ни один из продуктов это невидит!
А если от имени iexplorer.exe это делать , то все антивирусники в дыре!

← →
ANTPro © (2007-09-20 22:44) [1]

> [0] MASTERPROMA (20.09.07 22:32)

Поставь в фаерволе блок на все творения MS(только не надо думать, что они такие плохие :)
И фаер нормальный поставь Comodo Firewall например, или Jetico Personal Firewall.
DrWeb  второй вирь после касперского ;) (У меня Avast справляется со всем)
И будет тебе счастье :)

← →
MASTERPROMA (2007-09-20 22:53) [2]

IEXPLORER тоже творение MS
к касперскому ключиков ненапасешся, к тому же
к тому же он один вирус пропускает, дырку помоему еще не залали ;)

← →
ANTPro © (2007-09-20 22:58) [3]

> [2] MASTERPROMA (20.09.07 22:53)

Avast поставь он бесплатный, Comodo Firewall тоже бесплатный.

> [2] MASTERPROMA (20.09.07 22:53)
> IEXPLORER тоже творение MS

Поставь в фаерволе блок на ВСЕ творения MS.
Юзай альтернативные браузеры.

← →
homm © (2007-09-20 23:02) [4]

> [3] ANTPro © (20.09.07 22:58)
> Юзай альтернативные браузеры.

Слово «альтернативные» можно и опустиь ;)

← →
MASTERPROMA (2007-09-20 23:43) [5]

ясно, думал троян, а оно так и должно оказывается)

← →
korneley © (2007-09-20 23:46) [6]

http://www.processlibrary.com/
там скажут, кто где, и кто чей... процесс ;)

← →
Virgo_Style © (2007-09-21 10:20) [7]

ANTPro © (20.09.07 22:58) [3]
Comodo Firewall тоже бесплатный

Поставил я его недавно для пробы... У него какие-то неясные отношения с Mail Agent, пускать или не пускать его - спрашивал ВСЕГДА. За неделю истрепал кучу нервов и удалил его) Хотя в остальном вполне понравился.

← →
Virgo_Style © (2007-09-21 10:22) [8]

korneley © (20.09.07 23:46) [6]
http://www.processlibrary.com/

и еще есть у них программка, которая встраивает кнопочки в task manager, чтобы прямо из него открыть сайт на нужном месте.

← →
MASTERPROMA (2007-09-21 10:40) [9]

korneley

не дурак, пользуюсь Process Explorer www.sysinternals.com
Раньше оутпост так не высовывался, хоть и контроль компонентов
был включен, ничего не ставил вроде,но я то не один на компе сижу)

ничего лишнего EXPLORER.EXE дерево;
spidernt.exe, ctfmon.exe, msimn.exe, iexplore.exe, procexp.exe все

SERVICES.EXE дерево;

svchost.exe (5 штук , все подписаны Generic Host Process),
spoolsv.exe, MDM.EXE, alg.exe, LSASS.EXE, spidernt.exe, outpost.exe

Еще ранее до переустановки виндов видел дырку в системе,
при заходе на определенные сайты (в основном плохие)
в корневом C: появлялся exe и запускался, в Process Explorer,
посмотрел кто запускал (прородитель процесса) - нет такого
(варианты появление на рабочем столе под именем setup.exe)
все малого размера , без иконок, удалял все

← →
ANTPro © (2007-09-21 11:35) [10]

> [4] homm © (20.09.07 23:02)

Да, IEXPLORER это ведь даже не браузер. Собственно о чем и говорит название :)

> [7] Virgo_Style © (21.09.07 10:20)

У Comodo есть форум на русском, а еще 3.0Beta появилась, в октябре будет релиз :)

← →
umbra © (2007-09-21 11:37) [11]

> подскажите анти-троян

Mozilla Firefоx :)

← →
MASTERPROMA (2007-09-21 13:09) [12]

ANTPro

ошибся конечно же IEXPLORE.EXE
Mozilla Firefоx после установки появляется пара вечно пасущихся процессов)

← →
Virgo_Style © (2007-09-21 22:58) [13]

ANTPro © (21.09.07 11:35) [10]

Признаться, я не очень стремлюсь докопаться до сути, если можно попробовать другие варианты)

← →
MASTERPROMA (2007-09-22 00:41) [14]

всем спасибо, переставляюсь

дошло как только полез на свой личный сайт www.*.com

оказалось на сайте - VBS.PackFor, троян был ворующий пароли сайтов

> MASTERPROMA (22.09.07 00:41) [14]

> свой личный сайт

> оказалось на сайте - VBS.PackFor, троян

Круто!!! Почти по этой теме вопрос, а точнее не вопрос даже, а наблюдение: из локальной (домовой) сети идет на порядки больше атак, чем извне. Вот и сейчас кто-то по DCOM ломится.

← →
MASTERPROMA (2007-09-23 18:20) [16]

поставить роутер и все этих атак нету,
извне ничего неприходит, судя по оутпосту
а когда небыло роутера - все время по 135 порту, сканеры ресурсов,
нетбиос шаринг

а трояны , это просим что-то , а получаем другое

ЗЫ если внешний адрес есть (реальный), то на роутере окрываем
порты HTTP или FTP в зависимости что держим на сайте

> MASTERPROMA (23.09.2007 18:20:16) [16]

> поставить роутер и все этих атак нету,

Это фантастика сынок.

← →
имя (2007-09-23 22:36) [18]

Удалено модератором

← →
имя (2007-10-07 22:25) [19]

Удалено модератором

подскажите анти-троян (inject-code) Найти похожие ветки