XGM Forum
Сайт - Статьи - Проекты - Ресурсы - Блоги

Форуме в режиме ТОЛЬКО ЧТЕНИЕ. Вы можете задать вопросы в Q/A на сайте, либо создать свой проект или ресурс.
Вернуться   XGM Forum > Общение> Hard & Soft
Ник
Пароль
Войти через VK в один клик
Сайт использует только имя.

Ответ
 
spellwerk

offline
Опыт: 4,869
Активность:
Подмена IP адреса
у меня на винде (хр) постоянно подменяется IP адрес однго из сайтов.
проверял все: hosts файл, днс сервера в настройках сетевого адаптера, днс в настройках модема, настройки браузера, смотрел настройки антивируса, удалял лишние процессы - все безрезультатно.
в убунте и безопасном режиме, естественно, все нормально.

чего я еще не учел?
Старый 26.11.2010, 23:00
ELForcer
Сижу only Hard & Soft
offline
Опыт: 1,593
Активность:
Spy_, проверь не подключены ли какие либо дополнительные протоколы или драйвера в свойствах сети. Не включен ли прокси в свойствах браузера.
Не прописан ли роутер (route -print).
Старый 26.11.2010, 23:41
spellwerk

offline
Опыт: 4,869
Активность:
ELForcer, нет, к сожалению ничего этого нет(
нашел еще процесс svcnost.exe, сам экзешник удалил, еще какой-то файл в Windows\Prefetch с похожим именем, но результата никакого.

неужто реинсталл оО хотя все равно на 7 хотел перейти)
Старый 27.11.2010, 00:37
ELForcer
Сижу only Hard & Soft
offline
Опыт: 1,593
Активность:
Spy_, Кинь результат исследования системы AVZ

P.S. Работал на 7ке. Мне лично категорично не нра. Далеко от Висты не ушла. Лишняя трата ресурсов компа.
Старый 27.11.2010, 01:41
Mark Bernet
Hoffman
offline
Опыт: 20,009
Активность:
Это может быть последствие вируса? Может стоит проделать восстановление системы?
Старый 27.11.2010, 02:27
YellowStar
poon
offline
Опыт: 15,144
Активность:
Забекдорили PC. Вписались в процесс какого нить скайпика или квипа, две программы куда вируса вписываются легко и которым ты доверяешь и разрешаешь все действия.
Старый 27.11.2010, 12:17
ScorpioT1000
Работаем
offline
Опыт: отключен
ну, у меня например миранда не из под рута админа пускается, а скайпу я вобще порезал все подходы ) он у меня на цепях :))
Старый 27.11.2010, 17:28
spellwerk

offline
Опыт: 4,869
Активность:
квип не юзаю, и даже при вырубленном скайпе та же самая фигня, так что видимо прописался в какой-то системный процесс.
оперативную память сканировал на вирусы, ничего не нашел. искал лишние процессы, типа как Isass.exe вместо Lsass.exe тоже результата нет.
Даже половину сервисов вырубил)

попробую сейчас восстановление системы, может поможет, примерно знаю когда это началось

Spy_ добавил:
откатил почти на месяц, ничего не помогло(
Старый 27.11.2010, 21:21
foreplay
Успех - это успеть
offline
Опыт: 865
Активность:
Spy_, если восстановление не помогло, то остаются крайние меры - перезагрузка самой XP, но результат не гарантирован...
Старый 27.11.2010, 22:26
FunkieFoO

offline
Опыт: 7,059
Активность:
foreplay:
перезагрузка самой XP
о нет, только не ПЕРЕЗАГРУЗКА! или вы имели в виду реинсталл? =)
Spy_, а у вас файрволл имеется батенька?
просканьтесь с помощью AVZ, узнаете много нового, ведь и так понятно что у вас троянец
Старый 27.11.2010, 22:33
ELForcer
Сижу only Hard & Soft
offline
Опыт: 1,593
Активность:
На счет AVZ я ему уже давно сказал.
Старый 28.11.2010, 02:49
spellwerk

offline
Опыт: 4,869
Активность:
» лог
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 28.11.2010 13:19:02
Загружена база: сигнатуры - 278154, нейропрофили - 2, микропрограммы лечения - 56, база от 25.08.2010 16:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
Поиcк RootKit и перехватчиков API отключен пользователем
2. Проверка памяти
Количество найденных процессов: 25
Количество загруженных модулей: 346
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0000\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0002\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0003\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0004\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0005\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0006\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0007\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0008\wb.vx
Прямое чтение C:\Documents and Settings\italankin\Local Settings\Application Data\Opera\Opera\vps\0009\wb.vx
C:\Program Files\REAPER\Plugins\FX\reasynth.dll >>> подозрение на Trojan-Downloader.Win32.Zlob.rnp ( 089DDAA5 07B2D4F9 0016953B 001D4B5F 18432)
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
D:\Documents\war3\Utilites\JNGP\bin\PELoader.dll >>> подозрение на Trojan-GameThief.Win32.OnLineGames.tqlr ( 0043B07C 00000000 0020B8DB 001D6514 28672)
D:\Games\Warcraft III 1.24e\bin\PELoader.dll >>> подозрение на Trojan-GameThief.Win32.OnLineGames.tqlr ( 0043B07C 00000000 0020B8DB 001D6514 28672)
D:\Games\Warcraft III 1.24e\jassnewgenpack5d_experemental\bin\PELoader.dll >>> подозрение на Trojan-GameThief.Win32.OnLineGames.tqlr ( 0043B07C 00000000 0020B8DB 001D6514 28672)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 6 TCP портов и 17 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>>> Нарушение ассоциации REG файлов - исправлено
>> Таймаут завершения процессов находится за пределами допустимых значений
>>> Таймаут завершения процессов находится за пределами допустимых значений - исправлено
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений - исправлено
Проверка завершена
Просканировано файлов: 136273, извлечено из архивов: 103358, найдено вредоносных программ 0, подозрений - 4
Сканирование завершено в 28.11.2010 13:48:59
Сканирование длилось 00:29:58
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info


Spy_ добавил:
все, нашел файл sewd.sys, в нем и была проблема) всем спасибо))
Старый 28.11.2010, 13:34
FunkieFoO

offline
Опыт: 7,059
Активность:
если не секрет, подменялся ИП вконтакта, или?
Старый 28.11.2010, 13:50
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы можете скачивать файлы

BB-коды Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Часовой пояс GMT +3, время: 02:52.