Украли ЛР, блочат почту...

Привет всем.. Тема такая! С вирусами часто дело не имел, до недавнего времени.. Фа в том что ноут чисты практически.. Только основные необходимые проги: варя, кклинер, проксик, пилнкер, фрикап, пару прог для смены мака... По форумам и порно сайтам не лазанный.. Просто почти чистейший комп... Суть такая.. Пополняется ЛР, через 3 часа деньги уходят в страну Пакисатан (посмотрел в деталях ип входящий)... Печально, грустно.. Пытаюсь зайти на почту, пишет "такого акка не существет", хотя заходил е так дано... Скачиваю Каспирский, проверяю, ничего не находет, усчтанавливаю Outpost, вроде работает, но сетевой драйвер не может установить.... Ну не суть... Создаю новую почту, на следующий день доступа к ней нет, Ответ на контрольный вопрос по турецки написан, и плюсом привязан ещё какой то емеил... Естественно могу форматнуть диск, переустановить систему и на всякий случай все проги скачать с офф сайтов (хотя вроде от туда и качал), но интерестно как....????? У кого какие идеи... С вирусами на ВЫ, и не предавал им особого то значения.... до позавчера..)))

 

Поймал руткит криптованный, теперь он живет в системе как домовой в квартире, попробуй его поймать.

Судя по всему он шлет данные куда то, либо на FTP, либо на почту. Проверь почтовые порты, если открыты - закрой.

 

Ууууух..) почтовые порты.... Щас почитаем что такое))) Попробую разобраться... О результатах отпишусь!

 

А через варю работать можо?? Этот вирусняк в варю не вклинется??

 

Не должен бы.
Тебе главное надо найти корень проблемы, как ты поймал зловред, иначе ты снова его словишь.

 

Безусловно,фаервол нужно ставить! Либо руткит,либо кейлоггер,либо троян (хотя маловероятно).

Эту тему можно мусолить долго,начиная от просмотра инфицированной страницы и заканчивая флешкой.....
Для начала контроль автозагрузки/процессов - http://www.anvir.net/ (софт сам подскажет,что вредное)
По фаерволам.Нужно установить нормально и без косяков.Выбирай любой из трех фаеров:
Установка и настройка Agnitum Outpost Firewall -http://2ip.ru/article/outpost/
Установка и настройка Comodo Firewall - http://2ip.ru/article/comodo/
Установка и настройка ZoneAlarm - http://www.windowsfaq.ru/content/view/328/46/1/1/

Как закрыть порты в Outpost Firewall - http://2ip.ru/article/ruleoutpost/
Как закрыть порты в ZoneAlarm PRO - http://2ip.ru/article/rulezonealarm/
Как закрыть порты в Comodo Firewall - http://2ip.ru/article/rulecomodo/
Как закрыть порты в Kaspersky Internet Security - http://2ip.ru/article/rulekis/

Советую еще почитать - http://forum.antichat.ru/thread267895.html

 

оК, спс, перечитаю ВСЁ!..

 

ЗЫ Забыл добавить, что использую связку опен впн с ссн тунелем... Но конечн знаеющий человек сказал, что 99% врядли длело в ssh...

 

Ну собственно я это и сказал.
Я даже не уверен, что сниффая трафф через SSH (если допустить даже такую возможность) можно хакнуть LR.

 

И еще.
Если бы как ты говоришь админ SSH или кто-то еще был в этом замешан, он зашел бы с того же IP, чтобы LR даже не заругалась и не потребовала код подтверждения.

 

Ну да, )) То что ты помню)))).. Ну кстати да, ты прав.... Зашёл бы с этого же ИП.... Можно и винду так то снести, но взял интерес... Бесят эти загоны... Опять бессонные сутки пошли...

 

Ну да ты попал, т.к. вынос винды это не все, надо же разобраться, иначе такой же будет казус.

 

А что на счёт прог для удаления руткитов?? Какие самые мощные для этого?? Кто работал с многими?

 

http://soft.oszone.net/program/1894/Sophos_AntiRootkit/
http://z-oleg.com/secur/avz/download.php
http://www.comvirus.ru/Avira+AntiRootkit+Tool.php
http://www.malwarebytes.org/products/mbar/ - самый последний,сейчас сам попробую,интересно.Но я лично malwarebytes очень доверяю.

Самых мощных нет.Если подцепил руткит,то его в 50% случаев нереально найти... Но пробовать нужно!

 

оо, спасибо!!!! Вот это уже интерестно!)) Щас посмотрим... Недооценивал я вирусы, хотя с компбютером не первый десяток лет...

 

Ниччего не нашло.... Только что Outpost блокировал приложение rtelwj.exe из папок appData\local\google\user data\default\web data и appdata\roaming\mozila\fierfox\profiles\nahd6ha2.default\signons.sqlite
Грешу на него... Подозрительный какой то... Криптованые руткит вообще антивирусы ловят?? Этот можно как ни проверить?

 

переустанови Win, ибо мозг себе не переустановишь.

лол, компьютеры не дружат с тобой,
или просто-напросто не знаешь английский.

вот только этим и занимаемся, что берём и запускаем все анти-руткиты, что под руку попадутся,
и потом меряемся пузами - у кого из нас мощней ))

у Alex24 - самый слабый и писклявый голосок, явно пидерский,
из той оперы - "Пустые кастрюли гремят громче всех"


UPD.
рано или поздно, таки придётся познакомиться с понятием - "Права на папку - Чтение/Запись/Full Access"

rtelwj.exe - залей на rghost, пожалуйста.
глянем, что в нём.

заливай упакованным в архив, с пассом antichat.

 

Как раз таки оооочень любят))) второй вирус за все эти года, который мне реально мне пользоваться мешал))

Ах черт... это я тупанул... Это процессы так называются, а не приложения.. Щас посмотрим, чьи они..

 

Скорее всего в них цепанул заразу, либо в кряке для вари/проксифаера.

 

попрошу отвечать по теме и без наездов.руткит на то и руткит что бы его не найти.это может быть и буткит,и ав будут сосать палец.в общем проще сохрани все данные и снеси венду.