Страница 1 из 1
ссучий вирус на XP
Добавлено: 2009-04-10 3:28:50
ADRE
В общем сканировал машинки avz, nod, drweb - ничего не нашли, но всё время занимаются в сети вот такой порнографией...
Код: Выделить всё
Apr 10 09:17:21 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.68 in via em1
Apr 10 09:17:22 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.69 in via em1
Apr 10 09:17:22 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.70 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.71 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.148:2739 93.158.134.48:5222 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.72 in via em1
Apr 10 09:17:23 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.32 192.168.18.132 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.230:1615 89.202.157.201:80 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.32:2641 69.10.61.245:80 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.73 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1287 195.189.143.187:80 in via em1
Apr 10 09:17:24 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.74 in via em1
Apr 10 09:17:25 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.75 in via em1
Apr 10 09:17:25 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.76 in via em1
Apr 10 09:17:26 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.77 in via em1
Apr 10 09:17:26 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.78 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.32:2641 69.10.61.245:80 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.79 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.148:2740 93.158.134.48:5222 in via em1
Apr 10 09:17:27 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.80 in via em1
Apr 10 09:17:28 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.81 in via em1
Apr 10 09:17:28 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1288 195.189.143.187:80 in via em1
Apr 10 09:17:28 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.82 in via em1
Apr 10 09:17:29 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.83 in via em1
Apr 10 09:17:29 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.84 in via em1
Apr 10 09:17:30 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.85 in via em1
Apr 10 09:17:30 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1287 195.189.143.187:80 in via em1
Apr 10 09:17:30 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.86 in via em1
Apr 10 09:17:31 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.87 in via em1
Apr 10 09:17:31 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1288 195.189.143.187:80 in via em1
Apr 10 09:17:31 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.88 in via em1
Apr 10 09:17:32 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.89 in via em1
Apr 10 09:17:32 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.90 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.89:1194 77.120.102.146:80 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.32:2641 69.10.61.245:80 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1291 195.189.143.187:80 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.91 in via em1
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:33 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.92 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.93 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1299 38.102.136.101:80 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1300 90.156.178.41:80 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny TCP 192.168.0.101:1302 94.103.82.186:80 in via em1
Apr 10 09:17:34 ns1 kernel: ipfw: 10500 Deny ICMP:8.0 192.168.0.31 192.168.33.94 in via em1
Apr 10 09:17:35 ns1 kernel: ipfw: 10500 Deny P:241 88.82.169.160 88.82.169.255 in via em0
чем можно это вытащить?? не говоря уже о том, что ходят на 80 порты к
Код: Выделить всё
OrgName: McColo Corporation
OrgID: MCCOL
Address: 64 East main st. box 275
City: Newark
StateProv: DE
PostalCode: 19715
Country: US
Re: ссучий вирус на XP
Добавлено: 2009-04-10 7:21:18
zg
троянремовер попробуй, мне помог. Тоже поначалу искал авз, кламом, вебом, нифига не находили, потом просканил ремувером, так он целый букет собрал
Re: ссучий вирус на XP
Добавлено: 2009-04-10 8:08:58
ADRE
угу сейчас попоробую местную файлопомойку поковырять может есть....
Re: ссучий вирус на XP
Добавлено: 2009-04-10 8:50:06
Gegemon
OSAM попробуй очень качественный продукт. Питерская разработка. На форуме не плохая поддержка.
p.s.: Не знаю ни одного антивируса, который бы лечил всё (и знать не хочу).
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:11:53
zg
Gegemon писал(а):OSAM попробуй очень качественный продукт
походу прикольная штука -) надо будет попробовать
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:13:40
paradox
фаервол поставь
и он сразу покажет каке приложение стучиться
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:25:28
Gegemon
paradox писал(а):фаервол поставь
и он сразу покажет каке приложение стучиться
Не факт.
Вспомнил случай с KIS (вроде еще версии 6-ой).
С одной виндовой машины (ХР SP2) шла рассылка спама (рвался наружу по 25-му порту).
При закрытии 25-го порта KIS'ом - честно переставал работать почтовый клиент, а вирус продолжал свой черное дело.
Так вот...
Когда мастдай не видит ни в какую ( netstat показывал девственную чистоту по 25-му порту ) что у него в процессах, то смысл в антивирусных программах не велик.
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:32:24
zg
Gegemon писал(а):С одной виндовой машины (ХР SP2) шла рассылка спама (рвался наружу по 25-му порту).
угу, тоже было сие чудо, фаер тут не помошник. Вирус может слать данные аки системный сервис (svchost), а его фиг блокирнёшь без ущерба
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:35:55
Gegemon
zg писал(а): угу, тоже было сие чудо, фаер тут не помошник. Вирус может слать данные аки системный сервис (svchost), а его фиг блокирнёшь без ущерба
Да Виндофс сложная саморганизующаяся система.
Которая без подсадки на иглу ( в виде антивирусов ) работает очень не долго.
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:36:11
ADRE
авторан OSAM - конечно хорошо ) но не думаю что бухгалтер будет смотреть ))), и её не волнует что её пк пингует незарегистрированные сети...
avz - просто заподозрил
nod - не увидел
троянремувер - нешел че-то вялое
короче руками удалил, csrcs.exe в system32, делает какие-то файлики и пишет себя в реестре....
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:39:05
ADRE
Gegemon писал(а):zg писал(а): угу, тоже было сие чудо, фаер тут не помошник. Вирус может слать данные аки системный сервис (svchost), а его фиг блокирнёшь без ущерба
Да Виндофс сложная саморганизующаяся система.
Которая без подсадки на иглу ( в виде антивирусов ) работает очень не долго.
мда кстате на этом пк стоял рабочий брэндмауер виндовс, пакеты блочил Ipfw на вайлообменнике, роутер тоже блочил icmp 8,0, но вот скачку всякого говна с сайтов к сожелению не присечь, т.к. зарегиным пользователям можно качать, а IP случайные, заблочил конечно, но а смысл? дебилойды поменяют IP и опять начнется такая же ахинея... =(
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:40:47
zg
ADRE писал(а):csrcs.exe в system32
-))) это 100% вирусяга, системный файл называется csrss.exe (кстати системный сервис)
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:43:20
zg
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:43:37
ADRE
так он в диспетчере не отображается ) в реестре стартует и делает свое дело, как новый др.веб5 - систему кушает, а по диспетчеру типа он пушистик и кушает 1% проца, в это время проц нагреватся как утюг....... и все приложения дохнут
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:47:01
paradox
zg писал(а):ADRE писал(а):csrcs.exe в system32
-))) это 100% вирусяга, системный файл называется csrss.exe (кстати системный сервис)
фуууу
тупой вирус
я на днях у себя в компе его удалил
он в реестре прописываеться
и в корень себя гадит
ну и в system32 прописывает
так что удаляешь его смело
и все
в таскменеджерее его кстати видно
смотри лучше
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:48:51
zg
ADRE писал(а):так он в диспетчере не отображается )
я к тому, что почиститься надо после него, а то всякий мусор остаётся в реестре
paradox писал(а):я на днях у себя в компе его удалил
не такой уж и тупой значит
раз к тебе на комп таки пролез
Re: ссучий вирус на XP
Добавлено: 2009-04-10 9:56:32
paradox
так это категория тех вирусов что через екслоер в активиксах пролезает
это тот вирус что я давече жаловался на него
актив иск отключил и фаер поставил
и досвидос всем вирусам
Re: ссучий вирус на XP
Добавлено: 2009-04-10 10:00:44
ADRE
вовремя я бухгалтеров на firefox подсадил ))
Re: ссучий вирус на XP
Добавлено: 2009-04-10 10:07:57
zg
ADRE писал(а):вовремя я бухгалтеров на firefox подсадил ))
средствами activex можно в любом браузере создать произвольный файл и запустить его... вирусы тем и живут
Re: ссучий вирус на XP
Добавлено: 2009-04-10 10:08:53
Gegemon
ADRE писал(а):авторан OSAM - конечно хорошо ) но не думаю что бухгалтер будет смотреть ))), и её не волнует что её пк пингует незарегистрированные сети...
....
Так ты понял как он (OSAM) рабтает?
Он хорошо заразу с компа выгребает, там где антивирусы не справляются.
PREVX - очень качественный продукт на нахождение заразы в компе и в реестре...
Но! он платный. Хотя даже в демо-режиме можешь найти очень много всего.
p.s.: Кстати у
них размещена иформация на 1-ой странице какой антивирус какую заразу пропускает.
Re: ссучий вирус на XP
Добавлено: 2009-04-13 2:46:01
ADRE
Gegemon писал(а):ADRE писал(а):авторан OSAM - конечно хорошо ) но не думаю что бухгалтер будет смотреть ))), и её не волнует что её пк пингует незарегистрированные сети...
....
Так ты понял как он (OSAM) рабтает?
Он хорошо заразу с компа выгребает, там где антивирусы не справляются.
PREVX - очень качественный продукт на нахождение заразы в компе и в реестре...
Но! он платный. Хотя даже в демо-режиме можешь найти очень много всего.
p.s.: Кстати у
них размещена иформация на 1-ой странице какой антивирус какую заразу пропускает.
сижу вот изучаю...