Оффтоп/о спаме

0

0

Сейчас в руках держу каку - чужой ноутбук с завирусованной виндой. Как только я его вставляю в сеть, он сразу начинает рассылать спам (tcpdump на моей машине). ClamWin уже ничего не видит (то что он видел я уже снес). Ноут нужно отдать с виндой, но пока он у меня, мне интересно с ним по заниматься:

1. можно ли узнать, кто рассылает спам? ведь он как-то получает список ящиков?

2. можно ли найти программу-трояна (хочу посмотреть в дизасме) и как это сделать?

ЗЫ. systemrescuecd на нем запустился, доступ к единственному ntfs разделу доступен на чтение/запись.

ЗЗЫ. если еще есть как с ноутом поизвращаться - предлагайте =)

Ссылка

←	угрозы в интернетах

За миллиард лет до конца света

→

Поставь туда шифрующий вирус Касперского.

anonymous
(08.07.08 21:04:54 MSD)

Ссылка

Блин, DrWeb скачай бесплатно. Установки не требует. ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

~~Corran_Horn~~
(08.07.08 21:05:04 MSD)

Ответ на: комментарий от Corran_Horn 08.07.08 21:05:04 MSD

>Блин, DrWeb скачай бесплатно. Установки не требует.

на ноуте стоят: drweb, norton antivirus, nod32 и clamwin. работает только последний, ибо именно его я и ставил.

ЗЫ. щаз попробую.

generatorglukoff ★★
(08.07.08 21:06:46 MSD) автор топика

Ответ на: комментарий от generatorglukoff 08.07.08 21:06:46 MSD

фаерволл ?

Syncro ★★★★★
(08.07.08 21:09:54 MSD)

Ответ на: комментарий от Syncro 08.07.08 21:09:54 MSD

>фаерволл ?

либо могу поднять на модеме либо не понял вопроса =)

generatorglukoff ★★
(08.07.08 21:12:23 MSD) автор топика

Ссылка

Если XP, то для обнаружения вируса антивирус в 99% случаев не нужен.
netstat -b -v 1 (или как-то так) покажет Pid и имя процесса который рассылает, ну а дальше дело техники. Всякие Run в реестре и службы.
Антивирус вообще лишняя программа.

ksicom ★
(08.07.08 21:13:12 MSD)

Обычно эти сволочи в драйверах сидят. Запусти какой-нибудь driver manager, и все что кажется подозрительным киляй. Я без антивируса успешно вылечивал дикие зоопарки, главное разогнать все левые процессы, библиотеки в iexplore и explorer, и драйвера.

anonymous
(08.07.08 21:15:43 MSD)

netstat /? в консоли венды, и полуркать вывод нетстат с включеным показом библиотек и экзешни.

~~wfrr~~ ★★☆
(08.07.08 21:17:31 MSD)

Ссылка

Ставим фаервол, смотрим кто рвется, гуглим, сносим, закрываем все кроме фаерфогса и проч лабуды.

~~FiXer~~ ★★☆☆☆
(08.07.08 21:22:43 MSD)

Ответ на: комментарий от ksicom 08.07.08 21:13:12 MSD

netstat -a -n -o

это был один из svchost.exe

можно ли узнать, где лежит эта гадость - мне не очистить хочется, а код посмотреть =)

generatorglukoff ★★
(08.07.08 21:26:28 MSD) автор топика

Ответ на: комментарий от anonymous 08.07.08 21:15:43 MSD

>Я без антивируса успешно вылечивал дикие зоопарки, главное разогнать все левые процессы, библиотеки в iexplore и explorer, и драйвера.

О_О Жестоко, обычно в таких зоопарках лучше выдернуть после перепроверки всякие рисунки, ави, пм3 куда-то, а потом сносить все под корень, потом сносить все на флешках и дискетах, потом ставить Ъ дистр или винду с Ъ крякнутым/фрии антивирусами и обезательно правильно настроенный фаерволл, ну и search & destroy в придачу, вырубить автозапуск нафиг и т д.

~~FiXer~~ ★★☆☆☆
(08.07.08 21:27:14 MSD)

Ссылка

И конечно же забыть про говноИЕ и проч + делать регулярное обновление баз, и проверку ВСЕХ фходящих файлов :)

~~FiXer~~ ★★☆☆☆
(08.07.08 21:28:54 MSD)

Ссылка

сделай с раздела винды образ и засунь в vmware. И там препарируй (или в quemu/kdbg ) сколько влезет.

anonymous
(08.07.08 21:29:47 MSD)

Ссылка

Ответ на: комментарий от generatorglukoff 08.07.08 21:26:28 MSD

пошукать поиском, там будут и вендовые хосты и зараженный(или троян)

~~wfrr~~ ★★☆
(08.07.08 21:31:51 MSD)

Ссылка

Ответ на: комментарий от anonymous 08.07.08 21:15:43 MSD

смотришь по времени изменения windows/system32 даты файлов, что новое/странное трёшь. Хотя если сильно заражено, проще в морг и переустановить.

anonymous
(08.07.08 21:32:05 MSD)

Ссылка

Ответ на: комментарий от FiXer 08.07.08 21:22:43 MSD

>закрываем все кроме фаерфогса и проч лабуды.

у меня таки две машины - линуксовая тачка с которой пишу и ноут, который на коленях

generatorglukoff ★★
(08.07.08 21:33:57 MSD) автор топика

Ссылка

1 - нет, нельзя. Там система торообразная.

2 - установить нормальный антивирус (Тренд, каспер, симантек). Он его найдет и покажет где бинарники.

Shaman007 ★★★★★
(08.07.08 22:48:23 MSD)

Ответ на: комментарий от Shaman007 08.07.08 22:48:23 MSD

мне думает что тока переустановка, как в случае если бы у нас руткит нашёлся бы

очевидно, что список процессов фильтруется, думаю и сокеты тоже не все видно будет

fMad ★★★
(08.07.08 23:04:53 MSD)

Ссылка

Ответ на: комментарий от Shaman007 08.07.08 22:48:23 MSD

А не придёт ли виндец от пятого антивирусника?

tesla ★
(08.07.08 23:19:43 MSD)

Ссылка

Ответ на: комментарий от Shaman007 08.07.08 22:48:23 MSD

а кому обратится, чтобы прихлопнуть несколько айпишников/доменных имен, с которыми соединяется троян?

generatorglukoff ★★
(08.07.08 23:42:01 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	угрозы в интернетах

Talks

За миллиард лет до конца света

→

Похожие темы