Проблема: какой-то процесс постоянно ломится в сеть... Исходящий трафик стабильно держится около 1 МБит/сек., входящего нет. Подскажите, пожалуйста, чем можно вычислить процесс (определил с точностьюдо компьютера) и чем этот процесс убить... Dr Web ничего не нашел, Outpost Firewall тоже не помогает...
Небольшое уточнение... Outpost Firewall теперь не пускает тот процесс в сеть (заблокирован по IP), но сам вирус (или что там может быть) по-прежнему есть...
Nebel, 18.06.2007 - 14:19
Узнай название процесса? -Удали правило для аутпоста, и при попытке доступа в сеть узнай название процесса. -Или пусти его в сеть, и в аутпосте посмотри "Сетевая активность"
Убить можно Process Monitor'ом. Че за АйПи?
agp, 18.06.2007 - 14:59
Ломится все время на IP 88.85.65.158, но сомневаюсь, что это поможет... С оутпостом я никак разобраться не могу, как там и что смотреть нормально... Нашел только, где IP блокируются, и все... Если подскажешь, как именно там посмотреть название этого процесса, буду очень благодарен
Да, еще - Dr Web стал периодически выдавать наличие трояна... Но при полном сканировании никаких вирусов не нашел...
С чего началось, тоже не знаю...
Nebel, 18.06.2007 - 15:20
Похоже на троян, который висит только в памяти. (если полное сканир. ниче не дает). Хотя попробуй посканить Нод-ом https://softoroom.org/topic30936.html
-Началось с того, что ты зашел на какой-то интересный сайтик, возможно на тот, у которого этот айпи и есть.
-Аутпост: Удали правило блокир. по АйПи. Пусть пойдет в сеть. Потом открываешь основное окно Аутпоста и слева там будет в дереве ветка "Сетевая активность". Там будет список активных соединений. У каждого смотришь в правой панели на каждое соединение строку "Параметр Host из http запроса" и ищешь вышеупомянутый айпишник. Где найдешь - тот процесс и есть вирь (или пораженный вирем)
agp, 18.06.2007 - 15:38
Подозреваю, что с какого то интересного сайта... Правда, в журнале интересных сайтов нет... Тем более с тем IP...
Да, забыл добавить, с тем компом я знаком первый день, вирус, если верить провайдеру, подцепили в пятницу... (пожаловались на слишком большой объем исходящего трафика).
Весело еще то, что антивируса на компе, через который все подключены к инету, не было вообще...
Ладно, пока поробую аутпост освоить... Но если будут другие идеи, с радостью выслушаю
Nebel, 18.06.2007 - 15:56
Аутпост можно и не осваивать. Просто удали его полностью (включая сохраненные настройки). А на новом - в параметрах на закладке "Политики" поставь - не создавать правила автоматически. При попытке доступа ЛЮБОГО процесса в сеть он тебе выдаст окошко с инфой. И тут уж смотри, что стоит пускать в сеть, а что нет.
И еще можно поставить Нод32. Они в паре с Аутпостом хорошо работают - за три года (при своевременных обновах) ни одного пропущенного вируса.
Ну и тогда уж вирю и придет THE END
agp, 18.06.2007 - 21:42
Завтра попробую... Спасибо за советы...
-=freedom=-, 18.06.2007 - 23:58
QUOTE(agp @ 18.06.2007 - 14:59)
Ломится все время на IP 88.85.65.158
Вот ин-фа про тому IP = 88.85.65.158:
inetnum: 88.85.64.0 - 88.85.71.255
"как видно, тот IP входит в выше указанный диапазон IP-адресов"
role: WebaZilla RIPE Manager address: WebaZilla B.V. address: Postbus 19115 address: 3501 DC Utrecht address: The Netherlands phone: +31612253464 fax-no: +31303100299 e-mail: noc@webazilla.com Я зашёл на их сайт(webazilla.com ),вроде бы компания занимающаяся предоставлением хостинга.
agp, 19.06.2007 - 9:14
Информацию об IP-адресе я уже прочитал... Только боюсь, что толку мало будет от этого. Или предлагаешь им написать?
Фокус с оутпостом тоже не прошел (то ли руки неровные, то ли вирус хитрый), оутпост показывает полное отсутствие сетевой активности, хотя по данным винды (и сервера, и провайдера) идет передача данных со скоростью 100 Мбит/сек. (канал полностью загружен). Проблема еще в том, что долго экспериментировать не выходит, так как этот вирус вешает всю сеть здания, как только компьютер подключается к сети... Правда, на другие компьютеры перебраться он не пытается (тьфу-тьфу-тьфу)...
Nebel, 19.06.2007 - 9:34
руткит??? или бот? первое хуже -Выполни команду msconfig и выложи сюда перечень того, что она тебе показала в автозагрузке. Кстати, антивирус тебе какого трояна показывал?
agp, 19.06.2007 - 10:19
Название трояна не запомнил... Если еще вылезет, запишу... (где-то раз в 2-3 часа вылезает...)
В автозагрузке висит вот что: RTHDCPL SkyTel ALCMTR NvCpl nwiz NvMcTray spiderml spidernt Order Reminder (2 раза) MAgent hppschedindexer hppautoindexer winload ctfmon Microsoft Office HP LaserJet Director
Еще добавлю... Блокировка интернет-соединения при помощи оутпоста не прекратила передачу данных, и оутпост удалил при запуске 2 программы-spyware. Названия тоже не запомнил...
Nebel, 19.06.2007 - 10:47
QUOTE(agp @ 19.06.2007 - 11:19)
Order Reminder (2 раза) winload
Вот эти две вызывают бОльшие подозрения... Особенно первое. А второе может быть и загрузчиком винды (но у меня такого файла нет и в помине). Найди эти файлики и удали (перемести куда-нить в другое место) или попробуй галочки напротив них снять и перезагрузись.
И если можешь, пришли список работающих процессов из "Диспетчера задач"