Форумы портала PNZ.RU
Правила форума
Наш город
Политика
Бизнес
Барахолка
Вопрос -> Ответ
Компы и проги...
Интернет
Сайты Пензы
Хостинг
Телефония
Аудио, видео, фото
Ремонт и сервис
Автострасти
Учеба
Работа
Путешествия
Обсуждение новостей
СМИ
Зона закона
Наука и религия
Здоровье
Культура и искусство
Тусовка PNZ
Кино
Проба пера
Юмор и сатира
Музыкайф...
Дела семейные
Спорт
Киберспорт
Охота и рыбалка
Зверье мое
Строительство и ремонт
Дача, сад и огород
Девичьи тайны
Давай познакомимся
Про "ЭТО"...
Чат и чатлане
Всё обо всём...
Земляки
Заречный - forever
Кузнецк - forever
Радиомодели
Модераторам
Сейчас посетителей на форуме: 1, из них зарегистрированных: 0, скрытых: 0 и гостей: 1
Сейчас этот форум просматривают: Нет
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Личные сообщения
Кто сейчас на форуме
Вход
Имя:
Пароль:
Автоматически
входить при каждом
посещении

Если Вы заметили любую ошибку на страницах портала, выделите слово и нажмите Ctrl+Enter. Сообщение об ошибке будет отправлено редактору без перезагрузки страницы.
Что за вирус?

Список форумов PNZ.RU / Компы и проги...  


 Новая тема    Ответить
Предыдущая тема | Следующая тема  
Автор Сообщение
t-renegade



27.03.2015 13:07    
Что за вирус?

На трёх компах на работе видна постоянная сетевая активность.
TCPView показывает около сотни соединений от имени System process (PID=0) с портов 4ххх на другой компьютер на порт 445. Причём несколько последних в списке соединений непрерывно создаются/удаляются.
Пробовал лечилками против kido и sality - ничего нет. На флешке автораны не создаются - так что это не они. Проверял CureItом - ничего. Заводил GMER, ничего он не выделил красным и жирным. Лог его просмотрел - ничего лишнего (вроде) нет.

На компьютерах установлена XP SP2 и постфиксы против kido - 08-067, 08-068 и 09-001.

Ни у кого не было похожего?
Где что посмотреть, чем полечить?
Профиль
 Ответить с цитатой
kос†оправ



27.03.2015 13:38    

я бы напустил на комп adwcleaner зело полезная штука
Да и в msconfig поглащел бы и всё подозрительное убрал.. хотя если вирус не совсем дураки писали он не спасёт
А ежели не поможет то скорее всего утилитой autoruns всё подозрительное из автозагрузки убил бы
_________________
Профиль
 Ответить с цитатой
Ал
Модератор


27.03.2015 13:40    

Смотри что за процессы и под процессы запущены.
_________________
Crazy M0derat0r Mr. Green
Профиль
 Ответить с цитатой
t-renegade



27.03.2015 14:53    

Adwcleaner качнул. Почитал отзывы. Пишут удаляет не совсем относящееся к рекламе. Он что не спрашивает удалять или нет?


Соединения устанавливаются от имени System process PID=0. Смотреть его (там зараза сидит и маскируется) или все?
Извините если что ,я не большой специалист.
Профиль
 Ответить с цитатой
kос†оправ



27.03.2015 20:09    

Он показывает список чего собралсо наудалять можно снимать галки с того шо не надо
_________________
Профиль
 Ответить с цитатой
kос†оправ



27.03.2015 20:12    

Он не только рекламу удаляет эта до жути полезная програмка удаляет весь мусор навроде майл ру агента яндекс бара и прочего говна которое хуже вирусов Very Happy
ну и некоторые проги ведущие себя як вирусы тоже
_________________
Профиль
 Ответить с цитатой
```CoLoR```
Ex-Модератор


28.03.2015 12:43    

t-renegade, на всех компах в сети этот вирус? Или только на нескольких?

я бы сделал следующее:
1.прогнал бы бесплатные утилиты от dr.web(cureit) и kaspersky(Kaspersky Security Scan / Kaspersky Virus Removal Tool)

2. скачал бы ProcessExplorer и посмотрел конкретный процесс инициализирующий сетевую активность, вероятнее всего это какая-нибудь dll подгружаемая в системный процесс(к примеру svchost).

3.Загрузил бы эту dll(ну или exe) на онлайн сервисы анализа на вирусы (например https://www.virustotal.com/ru/)

Кстати, если не изменяет память, то Kaspersky Virus Removal Tool создаёт html отчёт, в котором тоже можно увидеть какие dll подгружены в процесс, и какой процесс как использует сетевую активность.

И вот на этом этапе должно быть уже понятно, что это за вирус, должно быть известно его название, а дальше "окей гугл" и поиск конкретной лечилки.

= = =

Ну а уж если совсем хочется разобраться...качаем утилиты для мониторинга процессов(ProcessExplorer, ProcessMonitor), мониторинг обращения к реестру, мониторинг сетевой активности и смотрим что конкретно делает вирус. Но надо ли это вам? Wink
Профиль
 Ответить с цитатой
Hashish



30.03.2015 13:32    

Скачайте загрузочный диск от Kaspersky или Dr. Web и просканируйте "холодную" систему.
_________________
Не нарушайте правила
Профиль
 Ответить с цитатой
t-renegade



01.04.2015 15:26    

Сканировал различными ловилками троянов, новым CureIt - ничего они не нашли.

Наконец-то виновник пойман.Wink Просто один из компьютеров был выключен некоторое время. Шухер в сети прекратился. Но кто виноват?
Компьютер с принтером в приёмной (его выключили) - введён в домен. А компьютер в отделе не введён, но пользуется тем принтером.
Для этого один раз в день перед использованием принтера вводится логин/пароль одного из доменных аккаунтов. И что-то там произошло в очереди - в папке "принтеры" показывает, что документов в очереди - 1, а открываешь этот сетевой принтер - всё чисто.
Удалил принтер и поставил заново. Теперь тишина.

Всем спасибо.
Профиль
 Ответить с цитатой
Player



05.04.2015 22:28    

да ребяты, вот у вас тут проблемы))))) сами себе задачу нашли, сами ее решили))) мне бы вашу фантазию)) я бы ее направил в нужное русло

445 - SMB

https://technet.microsoft.com/ru-ru/library/dd772723(v=ws.10).aspx - первая ссылка в яндексе

и прикол с вводом логин\пароля каждое утро для печати на доменном принтере - отдельная ржака)))
_________________
я бы себя переписал, но Бог не дает исходники...
Профиль
 Ответить с цитатой
Player



05.04.2015 22:30    

вы боритесь с вирусами, ставите заплатки на kido, НО НЕ СТАВИТЕ SP3 Laughing Laughing Laughing , я так понимаю остальные обновления тоже не ставите? и правильно)) здоровее будете, да еще трафик экномите Laughing Laughing Laughing Laughing
_________________
я бы себя переписал, но Бог не дает исходники...
Профиль
 Ответить с цитатой
Vladimir01



18.09.2017 14:38    
Re: Что за вирус?

t-renegade писал(а):
На трёх компах на работе видна постоянная сетевая активность.
TCPView показывает около сотни соединений от имени System process (PID=0) с портов 4ххх на другой компьютер на порт 445. Причём несколько последних в списке соединений непрерывно создаются/удаляются.
Пробовал лечилками против kido и sality - ничего нет. На флешке автораны не создаются - так что это не они. Проверял CureItом - ничего. Заводил GMER, ничего он не выделил красным и жирным. Лог его просмотрел - ничего лишнего (вроде) нет.

На компьютерах установлена XP SP2 и постфиксы против kido - 08-067, 08-068 и 09-001.

Ни у кого не было похожего?
Где что посмотреть, чем полечить?



Думаю один из этих антивирусов точно поможет, тут нужно что-то мощнее http://softcatalog.info/ru/obzor/reyting-antivirusov
Профиль
 Ответить с цитатой
Показать сообщения:   
 Новая тема    Ответить
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Дизайн: "НТВ-Дизайн"
Реклама: info@pnz.ru
Rambler's Top100

Авто в Пензе

Rambler's Top100 TopList