Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

Bmx Проблема с сетью В комп забилась программа которая , бомбит сеть...


Bmx Проблема с сетью В комп забилась программа которая , бомбит сеть обрашается ко всем компьтерам, ни какой антивирус не ловит его.

Поскажите как можно узнать какая это программа.
Есть ли проги которые определяют какой процесс обрашается к сети .

Возможно что эта прога не использует winsock (хотя не уверен).

СофтАйс на комп не возможно поставить.
WELL :: Bmx
Поставь файрвол.
Например OutPost или ZoneAlarm

Bmx :: Это поможет истранить проблему , а мне надо ее изучить

Noble Ghost :: Блин, так ты хоть узнаешь какая именно прога!

Bmx :: Да хочу узнать кто это
Для того го что бы

1. Устанить ее на чтом компе
2. скопировать ее к себе и узнать как она работает

WELL :: Bmx
Файрвол покажет тебе процесс, ты его прибьешь, скинешь себе файл и изучай сколько угодно.

Bmx :: Ok
Budem probovat

Bmx :: WELL
WELL пишет:
цитата:
Файрвол покажет тебе процесс


Firewall pokazivaet netbios no eto driver net biosa-a a kak uznat kto k nemu obrashaetsja ?

WELL :: Bmx
Какой у тебя файрвол?

Bmx :: OutPost

[ChG]EliTe :: Alt+Ctrl+Delete тебе в помощь... там увидишь список процессов посмотри какой левый и всего делов то...
не создает процесс (DLL иль еще что) то фарволом ты узнаешь кто лезет.... Хотя скорее всего все тупо...

WELL :: Ну если путевый вирь, то он может в чужой процесс вклиниваться.

AlexZ CRaCker :: [ChG]EliTe пишет:
цитата:
Alt+Ctrl+Delete тебе в помощь... там увидишь список процессов посмотри какой левый и всего делов то...


Где же ты такие вири/подлянки видел? Лучше взять ему PE Tools.

WELL :: Процессы можно KLISTER’ом посмотреть http://www.wasm.ru/tools/21/klister.zip
Ну если конечно у тебя NT/2k/XP

[ChG]EliTe :: AlexZ CRaCker пишет:
цитата:
Где же ты такие вири/подлянки видел?


Я те так скажу? ОООООООООООООООоооооооооооооооооочень большая редкость узреть вирь который под мое описание не подходит...
Остальные (т.е. 98%) все висят в процессах как пташки... это почти стопудово..!

WELL :: Bmx
Ну как ты там? Разобрался с вирем?

Bmx :: В борьбе с этим вирем дошел до следующего .

1. У него нету своего процесса
2. Его грузит svchost.exe
3. У меня в процессах сидят 4 svchost.exe в одном из которых этот вирь с помощьв Лорд-а нашел список длл-ов которые грузятся

Теперь как проверить кто из этих длл-ов нормальный а кто вирус. все они лежат в каталоге систем32

[ChG]EliTe :: Посмотри по подписи к ДЛЛ обычно Майкросовтовские все подписаны им же... а Вир мейкерам вламы подписи делать...

P.S. это я про › Правым батоном - Свойства - Версия...

WELL :: Bmx
Можно сделать так. Удаляешь по очереди все длл-ки (сделав копию сначала ). Ну и смотришь. Как исчезнет вирусень, та длл-ка и была.

[ChG]EliTe :: WELL пишет:
цитата:
Можно сделать так. Удаляешь по очереди все длл-ки (сделав копию сначала ). Ну и смотришь. Как исчезнет вирусень, та длл-ка и была.


Это называеться «метод научного клика»

WELL :: [ChG]EliTe
Типа брутфорс

[ChG]EliTe :: WELL пишет:
цитата:
Типа брутфорс


Можно и так сказать

Bmx :: Удалять это конечно можно было бы , но они находятся в систем32 а ХР если оттуда что то удаляется сам восстанавливает или не разрешает удалить

[ChG]EliTe :: Bmx пишет:
цитата:
сам восстанавливает


Он востанавливает только свои файлы но не как не вирусы...Гы Гы гЫ

WELL :: Bmx
Прежде чем удалять длл-ки, удали папку C:\WINDOWS\system32\dllcache\ там резервные копии длл-ок

Bmx :: [ChG]EliTe пишет:
цитата:
Он востанавливает только свои файлы но не как не вирусы...Гы Гы гЫ


А ты попробуй скинуть туда что то и потом удалить

[ChG]EliTe :: Bmx пишет:
цитата:
А ты попробуй скинуть туда что то и потом удалить


Скопировал.. перезагрузился.. удалил... Все удалилось

Да и еще в папке system32 2205 файлов а в папке dllcache только 1035...

Bmx :: С помоьщю APIMon-a нашел что к сети постоянно обращаяется explorer.exe, причем APIMon показывает обращение к сетевому драйверу то бишь NtDeviceIoControlFile, где из IoControlCode видно что это сетевая карта.

Как можно отмотать этот клубок т.е. от NtDeviceIoControlFile дойти до длл-а или драйвера , который его посыает именно длл или драйвер потому как LordPE никаких левых процессов не обнаружил

Симптомы вируса
анонимные входы в систему
не прерывная посылка DNS запросов ( файрвол показывает application Svchost.exe)

AlexZ CRaCker :: Bmx
Слуш, я с похожей дрянью сталкивался. Даже возможно, с такой-же. Короче, в папке Винды лежал файл ruvok*.exe. А второй раз - project1.exe(!!!). Ну, в общем, это рекламные агенты были. А ещё, прога есть - распознаёт в реестре каким-то макаром потенциальных агентов. Забыл вот название... Постараюсь вспомнить/найти.

[ChG]EliTe :: Я конечно дико извиняюсь, но нет ли у тя случайно в папке %WinDir% файла Svchost.exe ???

WELL :: svchost.exe должен лежать в папке system32, весит он 12800 байт (в XP SP1).
Если он у тебя лежит просто в папке винды, то это скорей всего (я бы даже сказал по любому ) и есть вирь.

Bmx :: WELL пишет:
цитата:
svchost.exe должен лежать в папке system32, весит он 12800 байт (в XP SP1).
Если он у тебя лежит просто в папке винды, то это скорей всего (я бы даже сказал по любому ) и есть вирь.


On u menja v system32 i razmer 12800

WELL :: Bmx
Удаляй длл-ки из доса (в смысле грузанись с дискетки), если они у тебя так восстанавливаются.

Bmx :: Тут вот какой вопрос .

А что же удалять , все они мс-овские

На так сказать атакуемом компе в аудите безопастности такая дрянь сидит

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 10.06.2003
Время: 12:44:28
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: ENKI
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x180A3)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: Код GUID: {00000000-0000-0000-0000-000000000000}%
И это исходит из моего компа

ZX :: Bmx пишет:
цитата:
И это исходит из моего компа


Значит ты кул хацкер.

ZX :: И что ты мучаешься:
fdisk,
format c:
и
d:\win98se.rus\setup.exe, далее следуешь инструкциям инсталлера!
Если это вредоносная прога, то чем больше ты ее исследуешь тем больше у нее шансов сделать из кого-нибудь еще одного кул хацкера

Bmx :: ZX пишет:
цитата:
Значит ты кул хацкер


что это означает?

ZX пишет:
цитата:
fdisk,
format c:
и
d:\win98se.rus\setup.exe,


Это всегда успею. А вот как найти

Sh[AHTeam] :: Мдя. Читаю и плакаю :)
Идите
http://securityresponse.s...ia.worm.removal.tool.html
http://securityresponse.s...er.worm.removal.tool.html

И вообще заглядывайте почаще
http://securityresponse.s.../avcenter/tools.list.html

И наступит щастье. У тебя сидит w32.welchia.worm.

Sh[AHTeam] :: И еще, поставь обновление KB823980, а то так и будешь выгонять вируса каждый день :)

[ChG]EliTe :: Bmx
Лично мое ИМХО ты просто его не ищешь, взгляни первое сообщение было отправлено 16 числа сегодня 22-е
22 - 16 = 6 дней.. почти неделя... ДА ЗА НЕДЕЛЮ можно уже было все файлы перелопатить вдоль и поперек...

Ты меня извини если чем обидел, но !НЕДЕЛЮ! искать какой то $%ch$%$# вирус это черезчур...

[ChG]EliTe :: Sh[AHTeam] пишет:
цитата:
И еще, поставь обновление KB823980, а то так и будешь выгонять вируса каждый день :)


А причем тут MsBlast ??? По симптомам нет ни малейшего сходства...

Sh[AHTeam] :: [ChG]EliTe пишет:
цитата:
А причем тут MsBlast ??? По симптомам нет ни малейшего сходства...


Это не бласт, а welchia. Он сидит в svchost ;)
А сам svchost(вирус) сидит в windows\system32\wins
и лечится тем же апдейтом. Без апдейта на бласт он опять поселится в самом скором времени :)
Причем у меня он сидел на контроллере домена, и ни один антивирь его не видал :) только симантековские утилитки и помогли...

AlexZ CRaCker :: Вот сёдня разгребал свой «CD крэкера» и нашол:

цитата:
SpyBot - Search & Destroy
Эта программа предназначена для поиска и удаления рекламных агентов (шпионов) на вашем компьютере, который нередко носят на себе вирусы. Она работает по встроенной базе в которой более 10 000 видом известных агентов. Найдя их она будет состовлять список после чего вы сможете редактировать этот список множеством функций. Очень удобный интерфейс, поддержка Русского языка и много другое ...


Вот эту програмулину я тогда говорил. Иногда бывает полезно. наверно.

[ChG]EliTe :: Sh[AHTeam] пишет:
цитата:
Это не бласт, а welchia. Он сидит в svchost ;)
А сам svchost(вирус) сидит в windows\system32\wins
и лечится тем же апдейтом.


Тобишь оба лезут через RPC....
Но как бы то нибыло это просто svchost поддельный.. искать его никакой сложности... Тем более если есть хоть малейшие подозрения... Например я вот каждый процесс знаю, каждый svchost знаю зачем он загружен...

Sh[AHTeam] :: [ChG]EliTe пишет:
цитата:
Тобишь оба лезут через RPC....


ну да :) weilcha типа написана чтоб лечить msblast... бред и полный шлак короче :)

Bmx
Зайди в %system32%\wins и посмотри, есть ли там svchost.exe. Если есть, поставь обновление KB823980, удали вирус и ребутнись. И наступит щастье :)

Bad_guy :: Sh[AHTeam] пишет:
цитата:
поставь обновление KB823980


Кстати про обновления. У меня тут давно в виндах98 бесит, что когда удаляешь много файлов - штук 1000 сразу - explorer как бы подвисает на пару минут (папка из которой ты удалил не свернуть не развернуть не закрыть), естественно пару минут мне ждать некогда, да и комп перезагружать не хочется. Может кто знает есть ли апгрейд для этого как я понимаю бага (XP не предлагать).

PS. А вот если WinCmdой удалять, то ничего не тормозит... но тоже её не всегда вспомнишь запустить перед тем как удалить кучу файлов.

AlexZ CRaCker :: Bad_guy
Как я понимаю, это кажись недостаток FAT32. Ато бы это уже поправили (у меня W98_SE-2)
Хм, сёдня к одному перцу прришол, с его XP разобраца(жалобы на тормознутость). Копался ооочень долго, и... случайно увидел, что у него FAT32. Просто нет слов... я охренел...
PS Чё с креклабом? НЕ работает?

P.S. короче, сделал ему NTFS и ХР стала летать

RottingCorpse :: мда... firewallы рулят

WELL :: AlexZ CRaCker пишет:
цитата:
Как я понимаю, это кажись недостаток FAT32. Ато бы это уже поправили (у меня W98_SE-2)


Неа FAT32 тут не при делах. В ХР же под фатом всё тип-топ. Просто explorer удаляет файлы через api SHFileOperation, которая не поддерживается в NT-шной линейке. А файлмэнеджеры удаляют по другому (DeleteFile там и т.п.). Вот такие дела.

Bad_guy :: AlexZ CRaCker пишет:
цитата:
это кажись недостаток FAT32


Не, у меня XP тоже стоит - там всё окей на той же системе.

AlexZ CRaCker пишет:
цитата:
Чё с креклабом


Скоро будет.

WELL пишет:
цитата:
удаляет файлы через api SHFileOperation


Информация однако, но мне не легче... сейчас поискал по всему инету что-нибудь подобное и только одна статейка похожая http://www.cryer.co.uk/brian/windows/we_stdf.htm хотя решения проблемы в ней похоже тоже нет. Блин, неужели меня одного это достало с тех пор как мастдай вышел...

ZX :: Bad_guy пишет:
цитата:
А вот если WinCmdой удалять, то ничего не тормозит... но тоже её не всегда вспомнишь запустить перед тем как удалить кучу файлов.


А я, например, кроме нее ничем не пользуюсь, проводник - отстой! :)

Bmx :: Sh[AHTeam] пишет:
цитата:
Bmx
Зайди в %system32%\wins и посмотри, есть ли там svchost.exe. Если есть, поставь обновление KB823980, удали вирус и ребутнись. И наступит щастье :)


A esli ego tam netu ?

Sh[AHTeam] :: Bmx пишет:
цитата:
A esli ego tam netu ?


Значит, у тебя другой вирус :) их последнее время знаешь сколько понаписали? :)
Но обновление ты все равно поставь, лишним не будет...

WELL :: Bad_guy пишет:
цитата:
Блин, неужели меня одного это достало с тех пор как мастдай вышел...


Меня тоже достало. Просто большинство уже на 2k/XP сидят...

AlexZ CRaCker :: WELL
Bad_guy
А не пробовали 2xExplorer? Проводник и ВинКом в одном пузыре... ооё.. флаконе.






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS