Thread: Какая-то хрень приключилась

#%$#^^46$!!!! У меня какие-то приключения на свою задницу за последнее время.

Памятуя свежий спор про юриспруденцию, вспомнил про юрислингвистику. Начал копаться в интернете. На одном сайте была библиография с сылкой на интресную статью. Я скопировал ссылку в браузер, нажал Enter.... Тут пошла куча каких-то левых процессов, которые тут же усмирились. Я не знаю каким чутьём - экстрасенсорным что ли - посомтрел окно состояние... Мама мия! Мне трафик начиcлился несколькимллиардный!!!!!!!! WTF???????????!!!!!!!!!!!!!А AdWare обнаружила ахрененную кучу пакости, которую возглавлял троян Win32.Trojan.Xorpix подозрительно напоминающий о злостных порнографических троянах. ((((((

Информации я чё-то нигде не вижу по этому поводу...
Если кто-нибудь знает, попал ли я или нет?...........

Может это тебя заставит перестать пользоваться Outlook и Internet Explorer.

Это вирус - идёшь на http://www.nod32.com , скачиваешь триальную версию и лечишься.

Originally Posted by Rtyom

Если кто-нибудь знает, попал ли я или нет?...........

Ну раз нашел Trojan, то, конечно, попал.

Я два раза (или три, уже не помню) подхватывала Троян. Лечила сама. Если не очень запущено, то неплохой способ - найти все левые файлы на компе и, проверив их он-лайн вот здесь
http://www.kaspersky.ru/scanforvirus

стереть с диска. Сделать это не совсем просто, можно только из DOS или если подключить в качестве диска D к другому системному диску (у меня просто есть такой, там стоит старая система win 98 ).

В общем, для начала проверь файлы по ссылке.

P.S. "найти все левые файлы на компе" - это значит поискать все .exe-файлы в папках windows и windows/system, у которых свежая дата создания (и, кстати, часто подозрительные имена, хотя не всегда).

Originally Posted by Ramil

Это вирус - идёшь на www.nod32.com, скачиваешь триальную версию и лечишься.

Оказывается, всё намного проще

Полезно:
www.sysinternals.com

Идешь что-то там про Process tools и скачиваешь тулзу, называемую Process Explorer.

Это, в принципе, замена штатному диспетчеру задач (task manager)

Гораздо информативнее и мощнее. БЕСПЛАТНО!
Можно например найти хендл c именем файла трояна и посмотреть, что за процесс его держит. Отстрелить этот процесс, затем удалить файл.

С того же сайта можно скачать тулзы regmon и filemon - описания читай там - в двух словах отслеживают обращения процессов к реестру и диску.

Там много ещё всякой всячины есть - и всё бесплатно.

Далее - есть ключик в реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run

- туда всякая гадость любит прописываться
Реестр редактируется командой regedt32 (regedit). - это список автозагрузки.

Этот ключик, кстати, тоже может какой-нибудь процесс отслеживать - так что если гадость там - можно стереть и нажать F5 - если отслеживание идёт - то стёртое значение появится снова.

NOD обнаружил заражение iexplorer.exe...

Originally Posted by Rtyom

NOD обнаружил заражение iexplorer.exe...

Rtyom, мы будем ждать тебя...

Originally Posted by Оля

Originally Posted by Rtyom

NOD обнаружил заражение iexplorer.exe...

Rtyom, мы будем ждать тебя...

Юзаю сейчас "Оперу". Так что я с вами.

Originally Posted by Rtyom

Юзаю сейчас "Оперу". Так что я с вами.

Так быстро всё вылечил???

Originally Posted by Ramil

Гораздо информативнее и мощнее. БЕСПЛАТНО!
Можно например найти хендл c именем файла трояна и посмотреть, что за процесс его держит. Отстрелить этот процесс, затем удалить файл.

AdAware почистил от этой мерзости. Process Explorer вроде ничего не обнаруживает.

Далее - есть ключик в реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run

- туда всякая гадость любит прописываться
Реестр редактируется командой regedt32 (regedit). - это список автозагрузки.

Этот ключик, кстати, тоже может какой-нибудь процесс отслеживать - так что если гадость там - можно стереть и нажать F5 - если отслеживание идёт - то стёртое значение появится снова.

Ничего подозрительного не вижу.... Insatlled/NoChange и делов.

Originally Posted by Оля

Originally Posted by Rtyom

Юзаю сейчас "Оперу". Так что я с вами.

Так быстро всё вылечил???

Ещё не всё, какие-то временные файлы нашлись... "вероятно неизвестный New Heur_PE". Ещё один отстой какой-то.


Рамиль, мой спаситель, прошу прощения за ламерский вопрос, если эти файлы прибить просто так, вручную, это сойдёт?

Originally Posted by Rtyom

Рамиль, мой спаситель, прошу прощения за ламерский вопрос, если эти файлы прибить просто так, вручную, это сойдёт?

У меня сходило
Правда, не любой файл даст себя просто так убить. Некоторые файлы можно удалить только из-под другой системы (DOS, например).

http://www.stevengould.org/software/cleanup/ - хорошо чистит комп.
И ещё одна бесплатная хорошая программка: http://www.win.tue.nl/sequoiaview/ - сразу видно, что на hard drive.

Originally Posted by Rtyom

Originally Posted by Ramil

Гораздо информативнее и мощнее. БЕСПЛАТНО!
Можно например найти хендл c именем файла трояна и посмотреть, что за процесс его держит. Отстрелить этот процесс, затем удалить файл.

AdAware почистил от этой мерзости. Process Explorer вроде ничего не обнаруживает.

Он ничего и не должен обнаруживать. Это чтоб тебе было легче обнаруживать Это не антивирус - это диспетчер работающих процессов.
Просто он замечателен тем, что во-первых, раскладывает процесс по ниточкам, во-вторых, позволяет отследить, какой процесс держит какой файл. Так бывает, что файл с вирусом удалить не получается именно потому, что он запущен, а мастдайка не даёт такие файлы стирать. Там можно выбрать find handle ввести имя такого файла и посмотреть, кто его держит. Скорее всего, ты выйдешь на процесс, который и "вредит". Отстрелив его можно удалять файл. (Это действует и в других случаях - например при зависании какой-либо задачи). Кроме того, процесс можно приостановить, изменить приоритет и вообще, получить массу информации о своей системе.

Ничего подозрительного не вижу.... Insatlled/NoChange и делов.

Я не сказал, что ты дожен обязательно увидеть - я сказал, что может быть. Этот ключ всегда надо смотреть в первую очередь.
Более комфортно, кстати, можно редактировать полный список автозагрузки командой msconfig.

ЗЫ. Удалить файл мало - он ещё мог позаражать кучу всего - полный прогон антивирусом - а internet explorer'ом больше не пользуйся никогда. И не заходи на сайты, сам знаешь какие сайты
По крайней мере отключай скрипты, яву и всё остальное, чтобы только html мог показываться.

И ещё - по тесту на обнаружение 100 вирусов, полгода назад, проводимому мной лично, nod32 распознал и обезвредил 99 из 100. Касперский - только 96, Norton - 92, Trend Micro - 90. Руткиты из перечисленных эффективно ловить не может никто, так что всё-равно осторожнее. Благо, руткит через интернет можно получить только по оооочень большой глупости, но и на старуху бывает проруха. Делайте выводы.

Вроде нашёл описание трояна:
http://z-oleg.com/secur/virlist/vir1153.php

Но нигде не вижу его...

Тёмчик, сделай так, как я тебе советовала: найти через поиск файлов всё, что создано за тот период, когда по твоим предположениям мог появиться вирус (ну, например, я обнаруживала свой почти сразу и поэтому задавала интервал "за последние 2 дня, 3 дня, 5 дней..") и найденные файлы проверь антивирусом или по ссылке он-лайн у Касперского. Вылечить, может, и не вылечит, но хоть какую-то информацию он тебе даст. Вот эти файлы тебе и надо будет удалить. А еще потом почистить реестр.

КСТАТИ! Обязательно включи опцию "показывать все системные файлы", потому что иначе вирус не даст себя найти.

P.S. Между прочим, некоторые вирусы как-то ухитряются изменить собственную "дату создания" на гораздо более раннюю, например дата та же, но на целый год раньше. Но их еще можно распознать по именам, например, у меня однажды было что-то вроде 2222222.exe

Ничего больше не нашёл. На всякий случай ещё одного человека привлеку, вдруг я пропустил чего...

Всем большое спасибо за посильную помощь. Особая благодарность Рамилю.

Остаётся с трафиком разобраться...

Не по теме но.. "хрeнь" - такого слово нет. ты имеешь в виду "[color=red]хрeн[color]"? )))

Тёма, вот ты и объясняй

Yazeed, the topic is translated something like that:

Some sh|t has just happenned to my computer ))