Помогите отловить процесс

agp, 18.06.2007 - 13:34

Проблема: какой-то процесс постоянно ломится в сеть... Исходящий трафик стабильно держится около 1 МБит/сек., входящего нет. Подскажите, пожалуйста, чем можно вычислить процесс (определил с точностьюдо компьютера) и чем этот процесс убить... Dr Web ничего не нашел, Outpost Firewall тоже не помогает...

Небольшое уточнение... Outpost Firewall теперь не пускает тот процесс в сеть (заблокирован по IP), но сам вирус (или что там может быть) по-прежнему есть...

Nebel, 18.06.2007 - 14:19

Узнай название процесса?
-Удали правило для аутпоста, и при попытке доступа в сеть узнай название процесса.
-Или пусти его в сеть, и в аутпосте посмотри "Сетевая активность"

Убить можно Process Monitor'ом.
Че за АйПи?

agp, 18.06.2007 - 14:59

Ломится все время на IP 88.85.65.158, но сомневаюсь, что это поможет...
С оутпостом я никак разобраться не могу, как там и что смотреть нормально... Нашел только, где IP блокируются, и все... Если подскажешь, как именно там посмотреть название этого процесса, буду очень благодарен

Да, еще - Dr Web стал периодически выдавать наличие трояна... Но при полном сканировании никаких вирусов не нашел...

С чего началось, тоже не знаю...

Nebel, 18.06.2007 - 15:20

Похоже на троян, который висит только в памяти. (если полное сканир. ниче не дает).
Хотя попробуй посканить Нод-ом
https://softoroom.org/topic30936.html

-Началось с того, что ты зашел на какой-то интересный сайтик, возможно на тот, у которого этот айпи и есть.

-Аутпост: Удали правило блокир. по АйПи. Пусть пойдет в сеть. Потом открываешь основное окно Аутпоста и слева там будет в дереве ветка "Сетевая активность". Там будет список активных соединений. У каждого смотришь в правой панели на каждое соединение строку "Параметр Host из http запроса" и ищешь вышеупомянутый айпишник. Где найдешь - тот процесс и есть вирь (или пораженный вирем)

agp, 18.06.2007 - 15:38

Подозреваю, что с какого то интересного сайта... Правда, в журнале интересных сайтов нет... Тем более с тем IP...

Да, забыл добавить, с тем компом я знаком первый день, вирус, если верить провайдеру, подцепили в пятницу... (пожаловались на слишком большой объем исходящего трафика).

Весело еще то, что антивируса на компе, через который все подключены к инету, не было вообще...

Ладно, пока поробую аутпост освоить... Но если будут другие идеи, с радостью выслушаю

Nebel, 18.06.2007 - 15:56

Аутпост можно и не осваивать. Просто удали его полностью (включая сохраненные настройки). А на новом - в параметрах на закладке "Политики" поставь - не создавать правила автоматически.
При попытке доступа ЛЮБОГО процесса в сеть он тебе выдаст окошко с инфой. И тут уж смотри, что стоит пускать в сеть, а что нет.

И еще можно поставить Нод32. Они в паре с Аутпостом хорошо работают - за три года (при своевременных обновах) ни одного пропущенного вируса.

Ну и тогда уж вирю и придет THE END

agp, 18.06.2007 - 21:42

Завтра попробую...
Спасибо за советы...

-=freedom=-, 18.06.2007 - 23:58

Вот ин-фа про тому IP = 88.85.65.158:

inetnum: 88.85.64.0 - 88.85.71.255

"как видно, тот IP входит в выше указанный диапазон IP-адресов"

netname: WEBAZILLA
descr: WebaZilla
country: NL
admin-c: WZNL1-RIPE
tech-c: WZNL1-RIPE
status: ASSIGNED PA "status:" definitions
mnt-by: WZNET-MNT
mnt-routes: WZNET-MNT
source: RIPE # Filtered

role: WebaZilla RIPE Manager
address: WebaZilla B.V.
address: Postbus 19115
address: 3501 DC Utrecht
address: The Netherlands
phone: +31612253464
fax-no: +31303100299
e-mail: noc@webazilla.com

Я зашёл на их сайт(webazilla.com
),вроде бы компания занимающаяся предоставлением хостинга.

agp, 19.06.2007 - 9:14

Информацию об IP-адресе я уже прочитал... Только боюсь, что толку мало будет от этого. Или предлагаешь им написать?

Фокус с оутпостом тоже не прошел (то ли руки неровные, то ли вирус хитрый), оутпост показывает полное отсутствие сетевой активности, хотя по данным винды (и сервера, и провайдера) идет передача данных со скоростью 100 Мбит/сек. (канал полностью загружен). Проблема еще в том, что долго экспериментировать не выходит, так как этот вирус вешает всю сеть здания, как только компьютер подключается к сети... Правда, на другие компьютеры перебраться он не пытается (тьфу-тьфу-тьфу)...

Nebel, 19.06.2007 - 9:34

руткит??? или бот? первое хуже
-Выполни команду msconfig и выложи сюда перечень того, что она тебе показала в автозагрузке.
Кстати, антивирус тебе какого трояна показывал?

agp, 19.06.2007 - 10:19

Название трояна не запомнил... Если еще вылезет, запишу... (где-то раз в 2-3 часа вылезает...)

В автозагрузке висит вот что:
RTHDCPL
SkyTel
ALCMTR
NvCpl
nwiz
NvMcTray
spiderml
spidernt
Order Reminder (2 раза)
MAgent
hppschedindexer
hppautoindexer
winload
ctfmon
Microsoft Office
HP LaserJet Director

Еще добавлю... Блокировка интернет-соединения при помощи оутпоста не прекратила передачу данных, и оутпост удалил при запуске 2 программы-spyware. Названия тоже не запомнил...

Nebel, 19.06.2007 - 10:47

Вот эти две вызывают бОльшие подозрения... Особенно первое. А второе может быть и загрузчиком винды (но у меня такого файла нет и в помине). Найди эти файлики и удали (перемести куда-нить в другое место) или попробуй галочки напротив них снять и перезагрузись.

И если можешь, пришли список работающих процессов из "Диспетчера задач"

agp, 19.06.2007 - 10:55

Спасибо, сейчас попробую

-=freedom=-, 20.06.2007 - 9:31

Проверь nvcpl,если *.exe --->прочти здесь

http://www.processlib...iles=nvcpl.exe

а если *.dll - то нормально = library file for NVIDIA display adapter.

==============

по Order Reminder вроде всё ОК(но почему 2 раза)---> прочти здесь
http://www.processlib...=OrderReminder

==============

по winload (думаю Nebel прав)---> прочти здесь

http://www.tasklist.o..._exe_9671.html

и

http://www.bleepingco...exe-10921.html
==============

Legat, 20.06.2007 - 14:38

список процессов с описанием - AVZ ,увидишь какие лишние. + проверься SpyBot - Search & Destroy

Teso, 20.06.2007 - 15:39

Попробуй старый и надёжный Process Explorer может ситуацию прояснит =)

agp, 22.06.2007 - 11:55

Спасибо всем за попытки помочь

В итоге решили проблему через format c:
Так что... Эксперименты окончены...

Еще раз спасибо всем пытавшимся помочь...