Трой

Discussion in 'Безопасность и Анонимность' started by xxChaoSxx, 13 Dec 2010.

  1. xxChaoSxx

    xxChaoSxx Active Member

    Joined:
    8 Jan 2008
    Messages:
    0
    Likes Received:
    269
    Reputations:
    7
    Где-то словил троя, ведёт себя как обычная подмена хостс, подменяет самые популярные ресурсы (в том числе ачат) со стандартным вымогательством $ (только уже не по средством смс, а прямым платежом с терминала на кошелек :eek: )

    Никак не могу избавится. Файл хостс девственный, это 100%
    Прогнал систему:

    Dr.Web Cure It
    AVZ
    Kaspersky Virus Removal Tool
    ESET Online Scanner
    Результат - ничего не найдено.

    Думал пофиксить HiJack'ом - но фиксить нечего.
    Откат системы так же не исправил проблему.

    В автозагрузке ничего нового не появилось,
    Под конец снёс хостс совсем. Ситуация не изменилась.
    Есть какие-то мысли?
     
    #1 xxChaoSxx, 13 Dec 2010
    Last edited: 13 Dec 2010
  2. HakaR

    HakaR Active Member

    Joined:
    23 Jul 2009
    Messages:
    301
    Likes Received:
    200
    Reputations:
    3
    DataBasePath проверь какой там путь. Должен быть %SystemRoot%\System32\drivers\etc
     
    #2 HakaR, 13 Dec 2010
  3. xxChaoSxx

    xxChaoSxx Active Member

    Joined:
    8 Jan 2008
    Messages:
    0
    Likes Received:
    269
    Reputations:
    7
    Проверял, такой путь там и прописан
     
    #3 xxChaoSxx, 13 Dec 2010
  4. Anarh1st

    Anarh1st Member

    Joined:
    19 May 2010
    Messages:
    32
    Likes Received:
    5
    Reputations:
    0
    С безопасного режима запусти msconfig, и в нем выбери режим "баз автозагрузки" - как то так. Перезагрузи комп (зайди уже с обычного режима) и ищи EXE-файлы со странным названием. Мне помогало
     
    #4 Anarh1st, 13 Dec 2010
  5. DesCent

    DesCent Banned

    Joined:
    9 Jul 2010
    Messages:
    276
    Likes Received:
    51
    Reputations:
    16
    Примерное время? 1, 2 дня назад, неделю?
    Запускаешь поиск по *.ехе файлам, изменившимся за срок, который у тебя торчит этот трой. Подозрительное файло льешь на вирустотал.
     
    #5 DesCent, 13 Dec 2010
  6. CodeSender:)

    CodeSender:) Elder - Старейшина

    Joined:
    29 Jul 2010
    Messages:
    245
    Likes Received:
    115
    Reputations:
    23
    Попробуй удалить троя
     
    #6 CodeSender:), 13 Dec 2010
  7. PabloPicasso

    PabloPicasso Banned

    Joined:
    2 Jan 2010
    Messages:
    88
    Likes Received:
    32
    Reputations:
    16
    судя по всему подмена идет на уровне драйвера
    я бы посоветовал проверить AVZ и почистить через HijackThis
    но раз ты уже это делал, снос винды тебе поможет 100%
     
    #7 PabloPicasso, 13 Dec 2010
  8. CodeSender:)

    CodeSender:) Elder - Старейшина

    Joined:
    29 Jul 2010
    Messages:
    245
    Likes Received:
    115
    Reputations:
    23
    Ничего не выйдет, всё дело в трое...
     
    #8 CodeSender:), 13 Dec 2010
  9. gold-goblin

    gold-goblin Elder - Старейшина

    Joined:
    26 Mar 2007
    Messages:
    917
    Likes Received:
    174
    Reputations:
    3
    Возможно в подключении к интернету изменены днс сервера.
     
    #9 gold-goblin, 13 Dec 2010
  10. xxChaoSxx

    xxChaoSxx Active Member

    Joined:
    8 Jan 2008
    Messages:
    0
    Likes Received:
    269
    Reputations:
    7
    Примерно пол дня назад. Поиск не выдал никаких ехе-шек за последниюю неделю.
    Не помогает. В автозагрузке нет никаких левых файлов. Найти ЕХЕ-шки со странным названием так же не удаётся
     
    #10 xxChaoSxx, 13 Dec 2010
  11. aka_zver

    aka_zver Elder - Старейшина

    Joined:
    17 Sep 2009
    Messages:
    471
    Likes Received:
    330
    Reputations:
    73
    1\ эм, так ведь такой способ автозапуска уже вроде не модно юзать?
    давненько малварь себя приписывает к userinit'у вот тут
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    2\ имя не обязательно странное, а дату доступа к файлу изменить не сложно...
    ----
    а касаемо заблоченных сайтов, я делал так:
    заблочен допустим drweb.com -> cmd -> ping drweb.com -> видим ip
    лезем в реестр и ищем там этот ип, у мну после удаления подобных записей всё работало
     
    #11 aka_zver, 13 Dec 2010
    Last edited: 13 Dec 2010
  12. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,296
    Reputations:
    327
    если хочешь - сетапь тимвивер и пмъ мне
     
    #12 sn0w, 13 Dec 2010
  13. Domino-boy

    Domino-boy New Member

    Joined:
    21 Oct 2010
    Messages:
    2
    Likes Received:
    0
    Reputations:
    -5
    DumiОС
    Ставь
     
    #13 Domino-boy, 13 Dec 2010
  14. Ponchik

    Ponchik Хлебо-булочное изделие

    Joined:
    30 Aug 2005
    Messages:
    687
    Likes Received:
    807
    Reputations:
    311
    ну если говорить про Ping
    делаем
    ping antichat.ru - сморим IP
    делаем
    nslookup antichat.ru 8.8.8.8 (IP гугловского DNSa, там то точно всё правильно)
    если не совпадает - ищи чо и как
    если совпадает значит не в подмене IP дела, смари модули которые в браузер вписаны или в настройках сетевого подключения может трой свои фильтры подгрузил
     
    #14 Ponchik, 13 Dec 2010
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.