empty packets рулят сетевухои...как пофиксит ?

здравия всем обитателям!
для начала введение в историю :
лаптоп гатевай (п4-м/512 ддр ну итд) подцепил кучку хорошенйкую спываре и троянов, причем немеренно подцепил ( болше 5К трацес в регистре удалил + около 30 разновидностеи троянов-короче запушен был по полнои программе) все ети спываре и трояны были удалены, но вот незадача : тепер когда комп устанавливает и-нет соединение сетевуха шлет миллионс пустых пакетов по локалке в течении пары минут но количество пересылаемои информации менше одного мегабаита -казалос бы не вопрос -траффик анализер/сниффер/декодер так исделал однако посколку пакеты пустые ничего из них сниффит 0(зеро)баит пакет,решил посмотрет с помошю винтерналс регмонитора...зараза не запускаетса на том компе пишет что уже один такои же работает,но я проверял нету ... думал фаилмонитор запустит -тоже самое -не пашет ,завтра попробую другую прогу какую нинбуд а то ети все в одном пучке пришли (думал может прога криво встала нифига на других компах при тех же условиях работает без проблем) tcp view хот работает как собственно и узнал что пакетс зеро баит и что дестинатион ИП на локал ЛАН находитса завтра проверю что за ИП такои ,куда все ето добро посылаетса.
что самое интересное с етого компа ПИНГ отлично проходит оутсаид ЛАН-а а вот открыт страницы проблема настояшайа - гоогле открываетса около 3 минут...
завтра еше кое какие детали узнаю напишу,если кого заинтересует могу сkреен шотс послат я несколко сделал может там чего то увидите чего я не увидел ?

вопрос собственно как вернут и-нет в нормалное состояние ?

p.s. заврта буду пытатса узнат что за софт занимаетса етои хреню...

respect

Если данная информация оказалась полезной/интересной - плюсаните, пожалуйста:

Аватар пользователя max3

времени нету подробности написат (позже отпишус) а сеичас ,
тут вон чаго получаетса :


процесс ехплорер (sysinternals) показал кое какие подозрителные процессы, а конкретно
2 svchost.ехе ( которые собственно и шлют какую то част етих пакетов) почему я на них подумал :
первое :нормалный svchost.ехе находитса в сiстем32 папке а етот на root c:\ и невидим ,я его никак не могу наити ниоднои прогои (даже сафе моде ) второе они работают на UDP/TCP порты - 1900;5000 а ето уже навело на кое какие мысли, особенно 5000 ( похоже я не всех троянов вычистил)
осталное пожже.
да еше одна детал : OPENPorts показывает процессы которые имеют определенный PID и NAME ,так вот нормалный svchost.ехе (из сыстем32 папки) нормално определилса етои прогои как собственно и многие другие что исползуют и-нет а етот "левый" определилса как UNKNOWN + никакои информации о company (как например в нормалном svchost.ехе из сыстем32 -миkрософт)

Аватар пользователя savely

Ну, ты сам сказал - не всех вычистил.

А кому счас легко...

Аватар пользователя DanZer

Макс, ну что ты в самом-то деле? В реестре поищи, откуда они грузятся, сделай экспорт reg-файла, подправь ручками, что нужно. Загрузи recovery console и спокойно ехешники покиляй. Потом импорт regов - и порядок.

Настоящий джентльмен назовет кошку кошкой, даже наступив на нее в темноте.
Что-то ищем? Google в помощь

Аватар пользователя rgt

max3 Возми HijackThis и почисти им, в случае непоняток лог сюда запости.
А вообще для таких вопросов лучще на IXBT соотв раздел использовать...

За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.

Аватар пользователя max3

rqt :

Цитата:
Возми HijackThis и почисти им

ето одно из первых что я сделал,а ети оставшиеся он невидит ,непоняток небыло до сих пор с хаиджаком.

Danzer :
Цитата:
В реестре поищи, откуда они грузятся, сделай экспорт reg-файла, подправь ручками, что нужно. Загрузи recovery console и спокойно ехешники покиляй. Потом импорт regов - и порядок

даня, как я и говорил был я в рековери консоле ,но походу не все ликвидировал, придетса еше разок. 8--)
Ееех, мат ети ети трояны ,едакии попалса настырный !

p.s.
что меня очен силно задевает что когда такие штуки невидит антивирус, а еше болше меня задевает когда я пробовал около 5 разных АВ и ниодин не видел етои заразы.

Аватар пользователя ivp

max3 писал(-а):
что меня очен силно задевает что когда такие штуки невидит антивирус, а еше болше меня задевает когда я пробовал около 5 разных АВ и ниодин не видел етои заразы.

NOD32 тоже пробовал?..

- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..

Аватар пользователя max3

NOD32 - HeT

1.Antivir
2.bitdefender
3.norton
4.F-Prot
5.McAfee
6.rav

ети пробовал -не нашли

Аватар пользователя ivp

max3
Таки попробуй - он по эвристике чуть ли не лучший по каким-то тестам...

- Ситчик веселенький есть?..
- Приезжайте, обхохочетесь!..

Аватар пользователя rgt

max3 Если эта гадина не дает запускать утилиты от Руссиновича, то, возможно она знает и про HijackThis. Тогда с ней бороться гораздо сложнее но тоже можно.
Самый простой вариант - загрузить с CD что-нибудь вроде Infr@CD на базе Win PE и посмотреть что найдут на диске антивирусы. Если это по каким-то причинам не возможно, грузимся в Сейфмоде запускаем ФАР и при его помощи убиваем все подозрительные процессы. Возможно, эта дрянь себя страхует и перезапускает, тогда перед тем как убить процесс в памяти надо его переименовать на диске, так как удалить его скорее всего не дадут...

За несоответствие действительности Вашим о ней представлениям администрация форума ответственности не несет.

Гм, я бы просто сделал repair венде. Как правило это эффективно добывает всех троянов вместе с дравйверами, эмуляторами CD и прочим non-userspace софтом. Переставиь драйвера ИМХО прое чем переставлять систему с приложениями.

ex-K9

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей