Троянци- има ли лек? 48 мнения

[svetliopi44]

Колеги на скоро си смених Интернет доставчика (сега съжалявам) и още на първия ден ми се набутаха 17 троянеца ... имам NOD 32 но нищо не им прави а само ми прави съобщения да ги трия след което при рестарт си е същото положение... има ли лек или да преинсталирам всичко му е майката ... Сложих и една друга анти-вирусна Malwarebytes' Anti-Malware но ефекта е същия ...

[sanders]

Виж процесите и дали има някой съмнителен. Той най-вероятно ти тегли и ресурси стабилно. Може да опиташ с тази програмка: "Mallware bytes".
Аз съм с Нод до сега не съм имал проблеми. Преди като бях с Нортън редовно ги изпускаше. Много често има такива програми, които само те вкарват във филма с троянеца да може да купиш техния софтуер. Първо прегледай процесите. Направи снимка и я качи аз ще ти кажа ако има нещо съмнително. Много често и system restore може да ти помогне. Виж нода дали се ъпдейтва.

[svetliopi44]

Не виждам нещо съмнително но все пак погледни и ти ...
А ето какво намери програмата ...

[sanders]

Опитай скан под Safe mode. Ако не стане направи System restore много пъти съм спасявал пц-та така. Понеже то ти връща системните файлове в предишното им състояние.

[sanders]

http://clubs.dir.bg/showthreaded.php?Bo ... apsed&sb=5

[sanders]

ctfmon.exe едвам го скивах

[nivanov]

За да се пазиш читаво има няколко прости правила:
1. Използвай firewall - особено ако можеш да си позволиш външен хардуерен е най добре (аз лично ползвам един router на MSI)
2. Antivirus - не само инсталиран, но и редовно опресняван
3. регулярно изсипване на кръпките, независимо дали си под уин или нещо друго ...

За да влезе троянеца явно има откъде - провери си ъпдейтите, провери и дефинициите на антивирусната

Ако искаш повече помощ - пусни резултата от сканирането да се види какво точно си пипнал, нататък може да се мисли вече :>

Поздрави,

[hygro]

Сорри, за дългия пост, ама май е настъпила принципна промяна в ситуацията с вирусите и троянците...

Напоследък битката с тях става безнадеждна. От самотно занимание на асоциални хакерчета, производството на троянци се е превърнало в многомилионен бизнес. Доходите само на RBN от създадените от техни троянци бот-мрежи се оценяват на 150 милиона долара. Счита се, че зомбираните от тях компютри не падат под милион, някои сочат и многократно по-големи цифри, заради извънредната трудност по диагностицирането на заразите. Софтуерът т.е. троянците им са на изключително професионално ниво, ъпдейтват се самостоятелно, базират се на rootkit технологии, включително използвайки виртуализация на вашия компютър. Стандартните антивирусни програми във вече заразен компютър не са от никаква помощ, а спецовете явно ивестират в собствено проучване за бъгове в ОС, браузери и друг софтуер, защото винаги изпреварват значително всякакви ъпдейти. А вече веднъж настанил се rootkit е трудно откриваем дори за специализирани инструменти.

А RBN съвсем не е единствената мощна международна организация, произвеждаща троянци - има и десетки други.

Ще споделя собствен опит. Най-напред да поясня - професионално се занимавам с ИТ от времето, когато програмите ми тежаха по няколко килограма перфокарти и междувременно не съм "изпускал влака" в тази област.

Та, касае се за домашен компютър с XPSP3 напълно ъпдейтнат с последните кръпки, свързан към Интернет през NAT рутер. Резидентни файъруол и антивирусна програма, ъпдейтващи се автоматично на всеки три часа. Браузерът е Файърфокс, също актуално ъпдейтнат. Излишно е да споменавам, че всичко това е конфигурирано максимално рестриктивно, при това от параноичен професионалист. Никога на този компютър не е стартиран какъвто и да е "съмнителен" софтуер. Някой сеща ли се какво разумно средство бих могъл да добавя, освен да срежа кабела?

Ровейки в "Направи сам" кликнах на един линк на електронен магазин. Само за миг мярнах в статусния ред на Файърфокс нещо, съдържащо "windowsupdate". И тъй като вече казах, че съм параноичен, спрях за да анализирам случилото се - няма абсолютно никаква причина този сайт по някакъм начин да е свързан с ъпдейтване на каквото и да било. Сайт като сайт, но в изходния текст на страницата явно имаше инжектиран чужд JavaScript. Кодът трикратно шифрован като матрьошки. След няколко часа работа стигнах до едно руско IP и странно обръщение към MS DRM. Толкова за страницата - никакви симптоми в лог-файла на файъруола или антивирусната... Но изненадата бе, че че рутерът междувременно беше отворил чрез UPnP нов порт и интензивно си комуникирах през него. Нито таск-менажера, нито файъруола, нито дори статистиката на мрежовия адаптер отчитаха каквото и да е движение. Никакви чужди процеси - нищо. Следва сканиране с четири различни антивирусни програми - пак нищо... Излишно е да казвам, че систем ристор също с нищо не помогна...

Стартирах компа от външна "чиста" операционна система и установявам, че делът на диска на който бях инсталирал ОС вече не е праймъри, а екстендед, а пък в него боза... А откъм контаминираната ОС нещата изглеждат непроменени Ще спестя цялата борба по извличането на важните данни от заразения диск - накрая ги изтъркалях от заразения компютър до чист по мрежата...

След като след всички разумни предпазни мерки, руснаците все пак успяха практически незабележимо да ми зомбират компютъра, рухнах и сритах окончателно MS. Сега пиша тези редове от същия комп, но с инсталиран openSUSE, с което се простих и с последният Уиндоус около мен, надявам се и с троянците...

[velsi]

ctfmon.exe едвам го скивах

Я разкажи повече за този процес ако обичаш.
И за svchost.exe също.

[hygro]

Не че не е възможно да е компрометиран, но ctfmon.exe е част от Windows и принципно е безобиден процес. Управлява алтернативните средства за потребителски вход, като например разпознаването на реч и т.н. От самото му наличие в активните процеси не би трябвало да следват заключения. Този процес управлява и индикатора на активната клавиатура "BG/EN" долу вляво, така че трябва да е стартиран задължително във всеки компютър с клавиатура на кирилица.

А svchost.exe е една от големите концептуални глупости, създавани от MS. С типичната за тях безотговорност, създават техника, чрез която програмни библиотеки да се превръщат в приложения. svchost.exe е програмният интерфейс, който реализира тази възможност. Официалното наименование е "Generic Host Process for Win32 Services". Официално се използва за стартиране на фонови резидентни услуги и какво ли не, присъства многократно като активен процес и затова е любимо убежище на елементарните троянци, защото хората са свикнали с постоянното наличие на множество svchost процеси. Например стартирането на RPC става така:

Код: Избери всички

svchost -k rpcss

Тази инструкция стартира rpcss.dll която може да е RPC, но и всякакъв друг зловреден код.