Украли ЛР, блочат почту...

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by latimo, 7 Apr 2013.

  1. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Привет всем.. Тема такая! С вирусами часто дело не имел, до недавнего времени.. Фа в том что ноут чисты практически.. Только основные необходимые проги: варя, кклинер, проксик, пилнкер, фрикап, пару прог для смены мака... По форумам и порно сайтам не лазанный.. Просто почти чистейший комп... Суть такая.. Пополняется ЛР, через 3 часа деньги уходят в страну Пакисатан (посмотрел в деталях ип входящий)... Печально, грустно.. Пытаюсь зайти на почту, пишет "такого акка не существет", хотя заходил е так дано... Скачиваю Каспирский, проверяю, ничего не находет, усчтанавливаю Outpost, вроде работает, но сетевой драйвер не может установить.... Ну не суть... Создаю новую почту, на следующий день доступа к ней нет, Ответ на контрольный вопрос по турецки написан, и плюсом привязан ещё какой то емеил... Естественно могу форматнуть диск, переустановить систему и на всякий случай все проги скачать с офф сайтов (хотя вроде от туда и качал), но интерестно как....????? У кого какие идеи... С вирусами на ВЫ, и не предавал им особого то значения.... до позавчера..)))
     
  2. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Поймал руткит криптованный, теперь он живет в системе как домовой в квартире, попробуй его поймать.

    Судя по всему он шлет данные куда то, либо на FTP, либо на почту. Проверь почтовые порты, если открыты - закрой.
     
  3. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Ууууух..) почтовые порты.... Щас почитаем что такое))) Попробую разобраться... О результатах отпишусь!
     
  4. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    А через варю работать можо?? Этот вирусняк в варю не вклинется??
     
  5. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,027
    Likes Received:
    311
    Reputations:
    86
    Не должен бы.
    Тебе главное надо найти корень проблемы, как ты поймал зловред, иначе ты снова его словишь.
     
    _________________________
  6. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    385
    Likes Received:
    56
    Reputations:
    19
    Безусловно,фаервол нужно ставить! Либо руткит,либо кейлоггер,либо троян (хотя маловероятно).
    Эту тему можно мусолить долго,начиная от просмотра инфицированной страницы и заканчивая флешкой.....
    Для начала контроль автозагрузки/процессов - http://www.anvir.net/ (софт сам подскажет,что вредное)
    По фаерволам.Нужно установить нормально и без косяков.Выбирай любой из трех фаеров:
    Установка и настройка Agnitum Outpost Firewall -http://2ip.ru/article/outpost/
    Установка и настройка Comodo Firewall - http://2ip.ru/article/comodo/
    Установка и настройка ZoneAlarm - http://www.windowsfaq.ru/content/view/328/46/1/1/

    Как закрыть порты в Outpost Firewall - http://2ip.ru/article/ruleoutpost/
    Как закрыть порты в ZoneAlarm PRO - http://2ip.ru/article/rulezonealarm/
    Как закрыть порты в Comodo Firewall - http://2ip.ru/article/rulecomodo/
    Как закрыть порты в Kaspersky Internet Security - http://2ip.ru/article/rulekis/

    Советую еще почитать - http://forum.antichat.ru/thread267895.html
     
  7. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0

    оК, спс, перечитаю ВСЁ!..
     
  8. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    ЗЫ Забыл добавить, что использую связку опен впн с ссн тунелем... Но конечн знаеющий человек сказал, что 99% врядли длело в ssh...
     
  9. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,027
    Likes Received:
    311
    Reputations:
    86
    Ну собственно я это и сказал.
    Я даже не уверен, что сниффая трафф через SSH (если допустить даже такую возможность) можно хакнуть LR.
     
    _________________________
  10. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,027
    Likes Received:
    311
    Reputations:
    86
    И еще.
    Если бы как ты говоришь админ SSH или кто-то еще был в этом замешан, он зашел бы с того же IP, чтобы LR даже не заругалась и не потребовала код подтверждения.
     
    _________________________
  11. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Ну да, )) То что ты помню)))).. Ну кстати да, ты прав.... Зашёл бы с этого же ИП.... Можно и винду так то снести, но взял интерес... Бесят эти загоны... Опять бессонные сутки пошли...
     
  12. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,027
    Likes Received:
    311
    Reputations:
    86
    Ну да ты попал, т.к. вынос винды это не все, надо же разобраться, иначе такой же будет казус.
     
    _________________________
  13. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    А что на счёт прог для удаления руткитов?? Какие самые мощные для этого?? Кто работал с многими?
     
  14. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    385
    Likes Received:
    56
    Reputations:
    19
    http://soft.oszone.net/program/1894/Sophos_AntiRootkit/
    http://z-oleg.com/secur/avz/download.php
    http://www.comvirus.ru/Avira+AntiRootkit+Tool.php
    http://www.malwarebytes.org/products/mbar/ - самый последний,сейчас сам попробую,интересно.Но я лично malwarebytes очень доверяю.

    Самых мощных нет.Если подцепил руткит,то его в 50% случаев нереально найти... Но пробовать нужно!
     
    #14 Alex24, 7 Apr 2013
    Last edited: 7 Apr 2013
  15. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    оо, спасибо!!!! Вот это уже интерестно!)) Щас посмотрим... Недооценивал я вирусы, хотя с компбютером не первый десяток лет...
     
  16. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Ниччего не нашло.... Только что Outpost блокировал приложение rtelwj.exe из папок appData\local\google\user data\default\web data и appdata\roaming\mozila\fierfox\profiles\nahd6ha2.default\signons.sqlite
    Грешу на него... Подозрительный какой то... Криптованые руткит вообще антивирусы ловят?? Этот можно как ни проверить?
     
  17. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    переустанови Win, ибо мозг себе не переустановишь.

    лол, компьютеры не дружат с тобой,
    или просто-напросто не знаешь английский.

    вот только этим и занимаемся, что берём и запускаем все анти-руткиты, что под руку попадутся,
    и потом меряемся пузами - у кого из нас мощней ))

    у Alex24 - самый слабый и писклявый голосок, явно пидерский,
    из той оперы - "Пустые кастрюли гремят громче всех"


    UPD.
    рано или поздно, таки придётся познакомиться с понятием - "Права на папку - Чтение/Запись/Full Access"

    rtelwj.exe - залей на rghost, пожалуйста.
    глянем, что в нём.

    заливай упакованным в архив, с пассом antichat.
     
    #17 altblitz, 8 Apr 2013
    Last edited: 8 Apr 2013
  18. latimo

    latimo New Member

    Joined:
    10 Jan 2013
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Как раз таки оооочень любят))) второй вирус за все эти года, который мне реально мне пользоваться мешал))

    Ах черт... это я тупанул... Это процессы так называются, а не приложения.. Щас посмотрим, чьи они..
     
  19. Многоликий

    Joined:
    7 Apr 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Скорее всего в них цепанул заразу, либо в кряке для вари/проксифаера.
     
  20. DooD

    DooD Elder - Старейшина

    Joined:
    30 Sep 2010
    Messages:
    1,168
    Likes Received:
    450
    Reputations:
    288
    попрошу отвечать по теме и без наездов.руткит на то и руткит что бы его не найти.это может быть и буткит,и ав будут сосать палец.в общем проще сохрани все данные и снеси венду.