» Как найти вирус

Вобщем не знаю вирус это или хрень какая,а стал вырубатся инет,на соединение щёлкаешь,окошечко мигает только.Для подключения интернета после этого помогает только перезегрузка.
Сейчас установил Файерволл,Комодо.И в журнале его увидел активность этой заразы,через каждые 5 сек пытается подключиться с 3-5 разных айпи по разным портам.
Заблокировал мне комодо это,но вобщем-то хотелось бы убить эту гадость,тем более не могу сейчас с P2P качать,так как там по айпи надо подключаться.
Товарищи,подскажите дальнейшие действия,как быть?
А,доктор веб 4.44 и ад-аваре,cureit и касперский в безопасном режиме ничего не нашли.

Читал, но сам не встречал, что есть зараза, которая создает в "Настройка/сетевые подключения/ - ярлык. Но не вашего соединения, а своего. Посмотрите там...

Посмотрел.Ничего,кроме моих ярлыков нет.
Но в Комодо,в журнале вижу,как к этой хрени пытаются из вне подключиться.
За секунду по 5-8 раз с разных айпи,по разным портам.
Может,кто подскажет какой способ обнаружения и удаления?
Сканил комп в безопасном режиме раз 5,ничего не нашёл,использовал последний кьюрит и каспер,и занимает это почему-то много времени,иногда часов 10.

У меня была такая хрень, не знаю что это, но помогла переустановка системы, ещё поставил KIS8, в общем пока всё норм. Да, вот перед отказом соединения с инетом появлялось сообщение что в приложении svchost.exe какая-то инстукция обратилась по такому-то адресу, память не может быть прочитана. Мне сказали что это вирус м что проще переустановить систему.

Хотелось бы уже обходится без переустановки системы,а то чуть что-переустановка.
Подождёмс,может кто ,что подскажет.
Есть ли какие способы,отследить и нейтрализовать,если в Файерволле светятся порты и айпи этой заразы?

koka286
Все вокруг да около... Какой именно процесс или приложение лезет в сеть? Посмотрите в мониторе приложений. Еще было бы лучше чтоб прикрепили картинку из файервола со списком приложений которые имеют сетевой доступ

в комодо во вкладке активность-журнал,наблюдаю такую историю


при этом на вкладке активность-соединения,никакое из приложений в интернет выйти не пытается.

Добавлено:
вот ещё одна картинка,тут видны порты по полному.


Добавлено:
на вкладке активность-соединения
стоит svchost и system появляется периодически.




Добавлено:
ну и картинка с монитора приложений.
Все приложения известные,лично разрешал.

koka286
Ну так это у вас локальная сеть такую активность показывает. Все входящие соединения.

Отправил

Добавлено:
Вопрос остался открытым.
Если у кого есть какие-то предложения,пожалуйста,пишите.

koka286
Ни одного скрина не видно. Как хоть процесс-то называется?

koka286
Симптомы похожи на тот же kido, по крайней мере когда начиналась эпидемия у меня в сетке были похожие симптомы. Воспользуйся рекомендациями по ссылке

на вопросы о вирусах у меня обычно один совет - раздел "помогите" на virusinfo.info:
http://virusinfo.info/showthread.php?t=1235
отправлять лог не обязательно - вполне можно самому собрать данные и разобраться.

Попробуй качнуть TCPView и/или Prio. Они довольно-таки подробно расписывают, кто куда ломится... Не разберешься - выложи скрины.

У меня процессы не ломятся вроде,хотя точно не знаю.
Без подключения к провайдеру меня вроде как атакуют по локалке.
Всё по протоколу IP.Кол-во атак растёт,если раньше было 5-10 за 5 сек,то сейчас доходит до 20,иногда протокол ICMP и IGMP.
Думаю,если покопаться можно разобраться,но уёдёт на это хрен знает сколько время.
Готовлюсь переустанавливать винду,буду искать прогу,которая образ диска делает,что бы в следующий раз с нуля не переустанавливать.Кстати,последние 2 раза,когда переустанавливал систему,была такая ситуация:двд-рекордер(внутренний,а так же внешний)несколько,а то и больше дней работают исправно,а потом перестают диски cd,dvd записывать.Может тоже с вирусом связано.
Сейчас стали появляться новые проблемы с интернетом,во-первых он ползает всё медленней и медленней,хотя заявленная ширина канала у меня 25mBit/sec.
Второе-Опера постоянно выдаёт предупреждение безопасности,что срок действия сертификата сайтов истёк,на некоторые сайты уже не могу даже залогиниться,пишет критическая ошибка 317 и всё,уровень шифрования устарел.Пробовал ИЕ,тоже самое.
Стал подвисать инет,если раньше требовалось перезагрузка системы,то после блокировки заразы файером,сейчас требуется переподключение к опере,или к провайдеру.А иногда всё-таки,только перезагрузка нужна.

Спасибо за помощь,вполне возможно,после переустановки проблема опять вылезет,и всё-таки придёться её решать.

Цитата:

буду искать прогу,которая образ диска делает

Acronis True Image, Norton Ghost, etc...

А не пробовал загрузиться с LiveCD и еще раз прогнать антивирусную проверку? У того же DrWeb есть LiveCD...

А handybackup подойдёт для резервного копирования?
Сейчас скачаю livecd drweb и ещё раз проверю,правда,сомневаюсь что мне удасться диск записать.А можно как то с флэшки или с дэмонтулс его запустиь будет?

koka286

Цитата:

А handybackup подойдёт для резервного копирования?

Подойдет. Начиная с версии Professional.


Цитата:

правда,сомневаюсь что мне удасться диск записать.

А в чем проблема записи диска?


Цитата:

А можно как то с флэшки или с дэмонтулс его запустиь будет?

С флешки - вряд ли; с нее есть смысл CureIt! запустить. А DaemonTools может смонтировать образ, но смысл? Фишка в том, что ты грузишься диска и запускаешь проверку. Соответственно, блокирующая работу антивирусов зараза идет лесом и никакого влияния на проверку не оказывает.

Live cd ничего не нашёл.Ну что за...?
Что у меня такой вирус особенный что ли?
И вообще,стояли у меня разные антивируса,так за месяц два работы ни одного вируса на выявили,только если на порно сайты не заходишь.
Ну пришёл один раз племянник,дал флэшку,да,он там авторан увидел.И всё.
А систему грузят и бабла требуют.
А когда настоящий вирус словил,ну и где они,что они делают,как они ищут.
Я понимаю,что антивирусы кому-то нужны,но вот лично у меня такая история.
Почему файер видит атаку,а антивирус вируса не находит.
Получается нет вируса у меня.
Переустановка виндовс.

koka286
ну с какого перепугу решил что это вирус?
разберись сначала с логами файервола. что он у тебя там показывает. какое направление соединений идет (входящие или исходящие). У тебя там в локалке порты твои сканируют, файер их отбивает. А ты его обвиняешь в наличии несуществующего вируса.
И не надо систему перебивать.

Заплатки все стоят? Попробуй ради интереса скачать пак заплаток.

Систему перебил уже.
Скинь плиз ссылку на актуальный пак заплаток.
Их у меня одна!

Добавлено:
Да,действительно,сканы по портам из локалки(буду это называть теперь так),продолжаются.Это нормально?
Значит вируса не было,зря я переустанавливал.
Сейчас аудиодрайвер не могу поставить,хотя точно знаю,что должен ставиться.
А интернетик как был слабенький,так и остался.
Может из-за файера и антивируса?
Ну 25 мбит канал,что ж это такое?А файлы качаются 10-50 кбит/сек.
Может провайдер,обманывает?Редиска.
Ну зачем мне 25 мбит канал нужен,если скайп качается 20 мин.
Если можете высказывайте свои мнения,как понять проблема в компе(считай во мне) или в провайдере?

Цитата:

Скинь плиз ссылку на актуальный пак заплаток.

На сайте МС. Через Windows Update)))

Цитата:

Ну 25 мбит канал,что ж это такое?А файлы качаются 10-50 кбит/сек.

Хм. Уверен что на 25?? Может на 2.5? Или например это по локалке только. Зайди например, на http://www.speedtest.net/ и протестируй.

Звук поставил.
В диспетчере обнаружились проблемы с Ethernet controller.
Не могу,пока,к нему драйвер найти.
Может из-за этого инет ползает?
Др вэб уже словил 1 вирус.

Вот,что обещает мне мой провайдер.



А вот,что показал speedtest.



Результаты самые разные,вот один из самых лучших



Сопоставимы ли показатели?

В любом случае спасибо за помощь,пошёл искать заплатки,и драйвер Ethernet.
Может из-за него скорость падает?

koka286

Цитата:

Скинь плиз ссылку на актуальный пак заплаток.

Обновления для Microsoft Windows XP, в шапке.

Спасибо.
Драйвера установил все.
Интернет всё равно слабенький,надо наверное в провайдером разбираться.
Хотя уже звонил 2 раза.
В первый раз(в принципе всё и началось, с этого)соединение стало зависать и только перезагрузка помогала, так вот -тех.поддержка сказала,что у меня вирус и надо переустанавливать систему(надо ж быть таким .....,чтоб послушать его,а если б он сказал головой об стену биться),но я в принципе и не послушал его,и пытался долго разрулить ситуацию,установил файерволл и увидел,что что-то ломится,а когда файер это заблокировал,и инет перестал пропадать,решил что это и есть вирус.При этом скорость инета сошла на нет.
Пакет у меня был 1000 кБит/сек.Разгонял DC++ до 5 Мбит/сек,3-норма.
Опера выдавала 120 кБит/сек на загрузку файлов,что норма при канале 1 Мбит.
И тут,после нового года P2P резко падает до 120 кБит,а в опере до смешного доходит
30-40 кБит,при этом скорость не постоянна,падает до 0 и останавливается иногда,жму на остановку закачки и на возобновление,немного помогает.
Перехожу я на новый пакет 25 мБит.Этож только представить так летать,мечтаю качать файлы со скоростью...подсчитываю,по логике в 25 раз быстрее,ну хоть в 5 раз быстрее, так точно должно быть.Представляете,теоретически можно закачивать файлы со скоростью 25 мБит
на П2П ну и на моих городских ресурсах.Фильм за 1-2 мин! Теоретически,а практически?
Угу....щас.Та же самая хрень,что менял пакет ,что не менял,звоню второй раз,они типа-всё нормально,скорость мы даём,вы не там проверяете,эти все спидтесты врут,....Да и я думаю,что похоже вирус у меня всё-таки остался,не даёт в инете летать.
Сканировал комп раз 5,не помогло,и вот решил переустановить систему,как видите.
Файер по-прежнему показывает в журнале активность локалки.Хотелось бы поподробнее узнать что это,и нормально ли это?Я так понимаю,это порты мои сканируют?
Да,хоть щас у меня 25мБит,мечтаю о прежнем 1-ом.Ну не смешно?
А,кстати,установил XP SP2,потому что SP3 не хотел вставать.Это плохо ,да?
Ну ладно,буду SP3 устанавливать завтра.

Цитата:

Вот,что обещает мне мой провайдер.

Это по Одессе и Украине. Кстати, что за провайдер? Т.е. из внешки ты качаешь со старой скоростью.

Цитата:

Др вэб уже словил 1 вирус.

Имхо, как второй АВ. Или KAV or NOD, предпочитаю первый.

Цитата:

отому что SP3 не хотел вставать

Куда вставать? Конкретнее, но это не для этой темы.

Добавлено:
Кроме того, многие провайдеры режут скорость P2P-сетей. Т.к. большие нагрузки на канал.

Цитата:

Кстати, что за провайдер? Т.е. из внешки ты качаешь со старой скоростью.

Тенет.Вот сегодняшние тарифы http://www.tenet.ua/domanet/tarif
Ну не знаю,старая скорость 120 кБит была,а сейчас от 20-30 кБит в среднем.
К примеру скайп или любой другой файл с нормальных серверов качает с такой скоростью,хотя серваки позволяют быстрее.Вчера ,например проскакивала пару раз скорость до 400 кБит/сек,но только на 10-20 сек.А так-то,жму скачать,дают 20-40 кБит и постепенно падает до 7 или даже 0,7 кБит,жму остановить,и возобновить....,опять такая же история.Вобщем мучения одни,а не скоростной интернет.
У меня бонус 135 гБит со скоростью 25 мБит(после этого 5 мБит),так я в день еле-еле 2 гига могу скачать,даже бонус потратить не могу.


Цитата:

Куда вставать?

Ну я хотел 3 пак поставить,а он не ставиться и всё,вырубается в процессе загрузки комп,(уже после форматирования винта),я его опять включаю,он восстанавливает продолжение загрузки как-бы и опять через минуту вырубается,я его опять включаю,и так до посинения.Я опять заново пытался поставить,уже форматнул как надо(не по быстрому),такая же фигня.
Вот и пришлось второй пак ставить,а он встал,тоже правда на первую попытку ошибку выдал,но со второго раза получилось.

ПОдскажете, где скачать ICQ-троян ?

wswfhjd
http://forum.ru-board.com/forum.cgi?forum=55 Там ищи.


Цитата:

Ну я хотел 3 пак поставить,а он не ставиться и всё,вырубается в процессе загрузки комп,

Комп перезагружается? Ладно, тут это офф топ. Эть тем проблемы при установке. С этим туда.

Цитата:

Комп перезагружается? Ладно, тут это офф топ.

Ну всё равно отвечу коротко.Нет,его просто вырубало,а я вручную включал.

По сабжу.
Включил галочку автоматического обновление,целую ночь качалось,где-то 28 обновлений сегодня установил.
Ууф.... Вот теперь результаты теста скорости,это с включённым антивирусом и файером.



Так что,видно,обновления помогли.
А может провайдер мой топик прочитал.-)