что за вирус?
При входе во внешку программа winlogon.exe начинает отправлять письма с моего компа (трафик растет, как снежный ком). Проверил каспером весь комп - ничего не нашел. Как эту заразу лечить? Спасибо за ответ!
Доброго времени суток! Поймал какую-то заразу в сети.
При входе во внешку программа winlogon.exe начинает отправлять письма с моего компа (трафик растет, как снежный ком). Проверил каспером весь комп - ничего не нашел. Как эту заразу лечить? Спасибо за ответ!
А ты попробуй винду переустанови, может поможет.
А ты попробуй винду переустанови, может поможет.
Да у меня образ "чистой" системы на болванку записан - восстановлю за 20 минут. Только ломает весь софт заново ставить. Да и просто интересно - неужто есть неуловимые вирусы?
Да у меня образ "чистой" системы на болванку записан - восстановлю за 20 минут. Только ломает весь софт заново ставить. Да и просто интересно - неужто есть неуловимые вирусы?
каспер - ффтопку. AdAware+Norton Antivirus.
Доброго времени суток! Поймал какую-то заразу в сети.
При входе во внешку программа winlogon.exe начинает отправлять письма с моего компа (трафик растет, как снежный ком). Проверил каспером весь комп - ничего не нашел. Как эту заразу лечить? Спасибо за ответ!
Юзаем например procexp.exe, с http://sysinternals.com. Запускаем прогу и начинаем рассматривать все подозрительные процессы. Открываем их свойства и смотрим на вкладочку TCP/IP - если там значится адрес почтового сервера и 25-й порт, и этот процесс определенно не почтовый клиент, то это то, что тебе надо. Т.е. как раз не надо :)
Большая часть подобной заразы не является вирусами, обычно это отдельные программные модули, в основном exe, т.е. их практически всегда видно в списке процессов. Изредко бывает dll который подгружается со стандартным виндовым процессом, например с explorer.exe. В таком случае надо будет просмотреть свойства всех процессов в системе. Совершенно очевидно, что если тот же explorer.exe пытается лезть в инет на 25-й порт, то дело тут не чисто, и надо искать заразу в библиотеках подгружаемых при его запуске.
Все так и есть. Outpost регистрирует запрос winlogon.exe по протоколу SMTP (зачем ему это надо?). Я этот запрос блокировал - теперь письма не рассылаются:) Но зараза все равно осталась. А нельзя ли winlogon заменить таким же с другого компа?
Навряд ли дело в нем. Я же говорю, скорее всего надо рыть в авторанах системы. Что-то подгружается вместе с winlogon'ом. На это тебе прога autoruns на sysinternals.com.
Навряд ли дело в нем. Я же говорю, скорее всего надо рыть в авторанах системы. Что-то подгружается вместе с winlogon'ом. На это тебе прога autoruns на sysinternals.com.
autoruns говорит, что с winlogon'ом загружается прога
C:\WINDOWS\system32\userinit.exe
это так и должно быть?
autoruns говорит, что с winlogon'ом загружается прога
C:\WINDOWS\system32\userinit.exe
это так и должно быть?
Обязательно. Не вздумай удалить эту строчку, а то у тебя будет бесконечный цикл "начало сеанса/завершение сеанса".
Копай дальше.
Навряд ли дело в нем. Я же говорю, скорее всего надо рыть в авторанах системы. Что-то подгружается вместе с winlogon'ом.
необязательно в Автозагрузке, я встречал такое что файл загружался как параметр Explorera.
На это тебе прога autoruns на sysinternals.com.
Всю автозагрузку можно просмотреть с помощью стандартного msconfig
необязательно в Автозагрузке, я встречал такое что файл загружался как параметр Explorera.
Всю автозагрузку можно просмотреть с помощью стандартного msconfig
И о ужас! Снова ты хочешь поспорить в том, в чем понимаешь мало. Даже не понимая о чем споришь.
Специально для Вас: http://www.sysinternals.com/Utilities/Autoruns.html - скачай и сравни результат работы этой программы с убогим msconfig. Если на то пошло, то все, что показано в msconfig я и без него лучше посмотрю, и даже больше. Он очень многого не показывает.
dance.166party.tv
login.saabservice.info
Что это за сервера такие?
AdAware
пробовал или нет???
если не умеешь работать руками, работай КАК МОЖНО БОЛЬШИМ КОЛИЧЕСТВОМ стороннего ПО. причем не только антивирусами.
пробовал или нет???
если не умеешь работать руками, работай КАК МОЖНО БОЛЬШИМ КОЛИЧЕСТВОМ стороннего ПО. причем не только антивирусами.
Из личного, уже не маленького опыта - адваря практически ни чем не помогает, если имеется в наличии проапдейченый по последнему слову Live Update нортон антивирус.
Да у меня образ "чистой" системы на болванку записан - восстановлю за 20 минут. Только ломает весь софт заново ставить. Да и просто интересно - неужто есть неуловимые вирусы?
Сохрани реестр . Восстанови систему с болванки . Восстанови реестр . Может поможет . В следущий раз в фаерволе включи контроль компонентов .
Сохрани реестр . Восстанови систему с болванки . Восстанови реестр . Может поможет . В следущий раз в фаерволе включи контроль компонентов .
А как в ХР сохранить реестр? Видимо, придется так и делать:(
Меня он еще не разу не подводил.:)
Попробуй Nod32, у него хорошая эвристика(очень помогает при отлове свежего трипера).
Меня он еще не разу не подводил.:)
Фигня полная этот нод. И кстати, откуда такая уверенность, что он тебя ни разу не подводил?
Фигня полная этот нод. И кстати, откуда такая уверенность, что он тебя ни разу не подводил?
Когда работаешь в этой области не первый год, начинаешь кое в чем разбираться. А уверен я потому что за здоровьем своей машины слежу как доктор за пациентом (по крайней мере когда нахожусь в инете).
И еще каждый может сказать...фигня, а вот предложить что-нибудь в замен???
Когда работаешь в этой области не первый год, начинаешь кое в чем разбираться. А уверен я потому что за здоровьем своей машины слежу как доктор за пациентом (по крайней мере когда нахожусь в инете).
Это еще не довод.
И еще каждый может сказать...фигня, а вот предложить что-нибудь в замен???
Symantec.
Хочется пофилосовствовать по-поводу защиты. Я удалил Outpost, поставил KAV Personal, каждый день обновляю базы. Не знаю будет ли защита нормальная или нет. Пробовал ставить NAV, но он почему-то не обновляет базы - зависает при поиске сервера. Но остается открытым вопрос: есть ли гарантированная защита системы от всякой заразы? Поделитесь своими способами защиты компа:)
Всем удачи и жизни без вирусов!
Насколько я знаю вирусов которые умеют выходить из под виртуалки на реальную машину еще не придумали.
И еще пусть sumantec вместе со своим NIS идет в .......! Ставьте если вам не жалко ресурсов своей системы.
И еще пусть sumantec вместе со своим NIS идет в .......! Ставьте если вам не жалко ресурсов своей системы.
Рукчки кривы? Или бету какую-то ставил? У меня на селероне 1700-м и 256 оперативы система замечательно работала. Единственно, что внем плохо, это интерфейс тормозной. Но он не часто нужен.
Рукчки кривы? Или бету какую-то ставил? У меня на селероне 1700-м и 256 оперативы система замечательно работала. Единственно, что внем плохо, это интерфейс тормозной. Но он не часто нужен.
Слушай я рад что ты фанат сумантека, но все, что сейчас приходит из инете он все равно не отловит (вири появляются гораздо раньше чем лекарство от них-это факт, или и здесь ты будешь спорить?). Поэтому к защите надо подходить по другому а не надеяться на дядю из какой-нибудь лаборатории.
Кстати раз ты выбрал такой способ защиты, тогда надо было выбирать антивирусник с наименьшим временем реакции на новый вирус. А это точно не sumantec уверяю тебя.
Слушай я рад что ты фанат сумантека, но все, что сейчас приходит из инете он все равно не отловит (вири появляются гораздо раньше чем лекарство от них-это факт, или и здесь ты будешь спорить?). Поэтому к защите надо подходить по другому а не надеяться на дядю из какой-нибудь лаборатории.
Кстати раз ты выбрал такой способ защиты, тогда надо было выбирать антивирусник с наименьшим временем реакции на новый вирус. А это точно не sumantec уверяю тебя.
угу... это дядя Касперский. который сам свои вирусы и пишет.
буквально на днях начала валится на работу свежая дрянь... вложение ни Symantec ни Clamav не отловили. на следующий день уже все реагировали нормально. и это вполне номально. потому что отреагировать на вирус через час после появления - это малореально. поэтому и есть IT отдел, служба безопасности и корпоративные правила работы в сети. чтобы юзеры не открывали что попало. в моей ситуации - пользователь пожаловался на странное письмо, в соответствии с инструкцией не открывая, вложение было отдано мне на анализ, письмо удалено, все остальные юзеры проинструктированы. так обычно и происходит. что касается домашиних юзеров - тут еще проще. я обхожусь вообще без антивируса. за много лет проблем не было. если вы действительно разбираетесь в безопасности, должны знать, что для заражения должно выполнится одно из условий:
- явно запущено приложение-вирус
- в сеть должен торчать открытым портом уязвимый сервис
так может опасность не слишко велика? и раздувается прессой, во главе с дядей Касперским?
а насчет тормознутости Symantec - не пользуйте юзерские версии. скачайте SAV CE. работает на первых пнях со 64 метрами ОЗУ.
Слушай я рад что ты фанат сумантека, но все, что сейчас приходит из инете он все равно не отловит (вири появляются гораздо раньше чем лекарство от них-это факт, или и здесь ты будешь спорить?).
Хочешь сказать, что хваленый нод все вылавливает? :)
Кстати раз ты выбрал такой способ защиты, тогда надо было выбирать антивирусник с наименьшим временем реакции на новый вирус. А это точно не sumantec уверяю тебя.
Давай. Уверяй. Только не понятно почему я должен тебе хоть чуточку верить. И на основании чего кстати? Ты являешься спецом в области информационной безопасности? Или хотя бы более-менее солидным админом?
А вот касательно симантековской продукции, можно найти уйму уверений гораздо более солидных чем ты людей.
Доброго времени суток! Всем спасибо за ответы:) Переписал чистый образ с болванки, файлы реестра. Заразы вроде нету, система устойчиво работает. Сначала хотел BackUp создать, но не вышло, так как более 4 Гб файл создать нельзя - пришлось ручками реестр и Program Files сохранять. После копирования реестра почему-то исчезли оба com-порта и сетевая карта из списка оборудования - пришлось их заново определить.
Хочется пофилосовствовать по-поводу защиты. Я удалил Outpost, поставил KAV Personal, каждый день обновляю базы. Не знаю будет ли защита нормальная или нет. Пробовал ставить NAV, но он почему-то не обновляет базы - зависает при поиске сервера. Но остается открытым вопрос: есть ли гарантированная защита системы от всякой заразы? Поделитесь своими способами защиты компа:)
Всем удачи и жизни без вирусов!
Значит зараза была в системной .dll-ке .
А оутпост настраивать надо :) .Как и любую прогу ,в общем . Полную гарантию никто не даст .
Хочешь сказать, что хваленый нод все вылавливает? :)
Я пользуюсь нодом и вообще каким-либо антивирусником только внутри локальной сети, а для защиты от заразы в инете я уже говорил, что использую виртуальную машину. (знаешь, что такое??? :))
А вот касательно симантековской продукции, можно найти уйму уверений гораздо более солидных чем ты людей.
Да не собираюсь я тебя уверять, я просто предлагаю сменить пластинку и не спорить о том какой антивирус лучше.(у каждого свои запросы)
И задаю тебе вопрос.... Как ты организовываешь зашиту, хотя бы локальной машины?
Я пользуюсь нодом и вообще каким-либо антивирусником только внутри локальной сети, а для защиты от заразы в инете я уже говорил, что использую виртуальную машину. (знаешь, что такое??? :))
это стрельба из пушки по комарам.
я уже говорил, что использую виртуальную машину. (знаешь, что такое??? :))
Ну конечно же нет. Это наверное трактор в компьютерной игре? Или я не прав?
ЗЫ По этому поводу squirL уже тебе ответил. Только я люблю говорить из гранатомета по мухам :)
Далее:
Да не собираюсь я тебя уверять,...
И:
А это точно не sumantec [color=red]уверяю тебя[/color].
За словами своими даже в печатной форме проследить не можем? Тогда лучше помолчать. (еще и названия фирмы написать не можешь правильно).
Как ты организовываешь зашиту, хотя бы локальной машины?
Головой в первую очередь. + то, что она от локалки отделена линуксовым шлюзом, + антивирь. Еще вопросы?
это стрельба из пушки по комарам.
За то крайне эффективная стрельба. Не так ли?
Головой в первую очередь. + то, что она от локалки отделена линуксовым шлюзом, + антивирь. Еще вопросы?
Ты бы еще написал, что броузер с понижеными привелегиями запускаешь! Я согласен, что такие громкие вири, как бласт антивирусники ловят на ура, а как быть с теми, которые написал твой сосед дядя Петя? И прислал десятку другому человек. О сушествовании подобных вирусов многие лаборатории даже не догадываются, а реальная угроза все же существует.
За то крайне эффективная стрельба. Не так ли?
Хм... Может проще тогда выдернуть шнур из сетевой карты? Самый эффективный метод будет.
Ты бы еще написал, что броузер с понижеными привелегиями запускаешь!
Во первых - у меня Опера, под которую сплоиты писать не модно, во вторых, в ней отключены скрипты, ну и в третьих, симантек аккуратно перехватывает все ActiveX'ы, с сайтов, которым я не доверяю, либо нахожусь на них первый раз. По сайтам сомнительного содержания я тоже не ползаю, т.к. они как-то не вызывают у меня интереса.
Я согласен, что такие громкие вири, как бласт антивирусники ловят на ура, а как быть с теми, которые написал твой сосед дядя Петя? И прислал десятку другому человек. О сушествовании подобных вирусов многие лаборатории даже не догадываются, а реальная угроза все же существует.
И че? А я тут при чем? Вложений e-mail не открываю, т.к. нет ни какой надобности, софт если и скачиваю, то только "брендовский". Юзать уязвимости сетевых сервисов без участия пользователя, (т.е. меня) как делал то же бласт? Ну пускай пробуют, лАмают линукс, через него в винду лезут и лАмают винду. Только стоит учесть что обе ОСи регулярно патчатся и всё ненужное в них отключено. И не понятно, чем я могу привлеч внимание, что бы так расстарались. Вроде тут не сервера пентагона крутятся у меня. Можешь попробовать сам, хочешь я тебе свой внешний IP-адрес открою? :)
Кстати, начали с того, что нод32 не есть панацея ото всех бед, и есть антивири получше его, а ты тут вообще с какими-то бредовыми вопросами ко мне пристал. Т.е. пытаешь перевести стрелки что ли? При этом полностью игнорируешь свои собственные ошибки, даже когда тебя в них носом тычут. И давай тогда ты мне ответишь, чем же лучше нод, того же симантека, в отношенни тех вопросов/проблем, о которых ты меня спрашиваешь.
В общем - предлагаю тебе перестать тупо флудить и пытаться доказать непонятно что и непонятно кому.
Что-то KAV меня уже достал: каждую минуту кто-то меня "атакует" с локальных адресов нашей сетки.
Не подскажете мне, в состав Symantec входит файрволл или там только антивирь?
Считаю, что защита нужна, даже если комп ни к какой сети не подключен. Приносят дискеты, болванки - часто попадается зараза.
Что-то KAV меня уже достал: каждую минуту кто-то меня "атакует" с локальных адресов нашей сетки.
Не подскажете мне, в состав Symantec входит файрволл или там только антивирь?
Для этого антивирь и нужон .
Кав тебя достал потому что не ты один заражон был в вашей сетке .
Симантика не пробовал , не знаю . Включи инсталятор и посмотри что предлагает установить.:)
Прально настроенная опера + прально настроенный оутпост + прально настроенный антивирь держат оборону у меня на трёх компах (2 рабочих и домовёнок) и ни разу заражения не было . Системы тока падали пару раз изза кривобоких игрушечек )).
А с мылом была история )) : шеф зовёт и письмо показывает . отправителя шеф знал , но стиль письма не такой как обычно и мелкие ошибки были в тексте . ну я смотрю аттаченный файл -раззиповал и нексом его . вижу заголовок - "PE" )) посмеялся .
Сказал шефу передать его другу что его машина захвачена . ))
Хм... Может проще тогда выдернуть шнур из сетевой карты? Самый эффективный метод будет.
Может и проще не пробовал....
Кстати, начали с того, что нод32 не есть панацея ото всех бед, и есть антивири получше его, а ты тут вообще с какими-то бредовыми вопросами ко мне пристал. Т.е. пытаешь перевести стрелки что ли? При этом полностью игнорируешь свои собственные ошибки, даже когда тебя в них носом тычут. И давай тогда ты мне ответишь, чем же лучше нод, того же симантека, в отношенни тех вопросов/проблем, о которых ты меня спрашиваешь.
В общем - предлагаю тебе перестать тупо флудить и пытаться доказать непонятно что и непонятно кому.
Я уже предлагал сменить пластинку несколько постов назад, и я еще раз повторю, что спорить об антивирях безполезно, каждый выбирает то что ему больше всего подходит. А началось все с того, что я [COLOR=orangered]ПРОСТО[/COLOR] порекомендовал direct'у попробовать Nod32 и сказал, что он меня не подводил, вот и все.
Давай я продолжу использовать Nod32, а ты Symantec и прекратим этот глупый спор?
А началось все с того, что я [COLOR=orangered]ПРОСТО[/COLOR] порекомендовал direct'у попробовать Nod32 и сказал, что он меня не подводил, вот и все.
Не-е-е... Началось все с того, что кто-то сказал: "И еще каждый может сказать...фигня, а вот предложить что-нибудь в замен???", а потом: "И еще пусть sumantec вместе со своим NIS идет в .......!", и в довершенни всего произнес абсолютно некомпетентный бред: "Ставьте если вам не жалко ресурсов своей системы."
Про чьи-то уверения, а потом отречение от них я вообще молчу.
Посему некоторым действительно лучше прекратить нести чушь.
Не-е-е... Началось все с того, что кто-то сказал: "И еще каждый может сказать...фигня, а вот предложить что-нибудь в замен???", а потом: "И еще пусть sumantec вместе со своим NIS идет в .......!", и в довершенни всего произнес абсолютно некомпетентный бред: "Ставьте если вам не жалко ресурсов своей системы."
Про чьи-то уверения, а потом отречение от них я вообще молчу.
Посему некоторым действительно лучше прекратить нести чушь.
Ты обвиняешь меня в том что я не держу своих обещаний и в не компетентности? Хорошо я согласен, знать все невозможно(это и к тебе относится!).
Но прежде чем обвинять других посмотри за собой, ты натуральный эгоист и не терпишь мнения, которое не совпадает с твоим.
И еще, в отличие от некоторых я не цепляюсь за каждое слово. Таких людей у нас называют отморозками :)
Ты обвиняешь меня в том что я не держу своих обещаний и в не компетентности? Хорошо я согласен, знать все невозможно(это и к тебе относится!).
Не знаешь - молчи. Не на базар же пришел вроде как.
Но прежде чем обвинять других посмотри за собой, ты натуральный эгоист и не терпишь мнения, которое не совпадает с твоим.
Угу, не тебе об этом судить. Я не то, что терплю, я уважаю мнение, не совпадающее с моим, если это мнение человека, к которому стоит прислушаться. К сведенью - это люди, которые умеют аргументировать свои доводы и мысли, а не говорить: "вот так вот оно, потому что так, и не как иначе".
И еще, в отличие от некоторых я не цепляюсь за каждое слово. Таких людей у нас называют отморозками :)
Ну и иди, в своё "у нас". Где отогреёки сидят.
Своим словам надо знать цену, вес, и следить за ними. Жизнь наверное научит когда-нибудь.
Усё, умолкаю :)
Угу, не тебе об этом судить. Я не то, что терплю, я уважаю мнение, не совпадающее с моим, если это мнение человека, к которому стоит прислушаться. К сведенью - это люди, которые умеют аргументировать свои доводы и мысли, а не говорить: "вот так вот оно, потому что так, и не как иначе".
Во-первых, любое мнение имеет право на существование.
А во-вторых, более серьезного аргумента, чем абстрактное заявление: "А вот касательно симантековской продукции, можно найти уйму уверений гораздо более солидных." в пользу симантека я от тебя еще не слышал. Так что не тебе об этом говорить.