Хакнули домашний комп через инет - внутри вопросы
3194
5
Система WinXP SP1 eng (build 2600)
Случилось это так - сидел на gprs mts (8-20 сегодня :-)
и в какой-то момент все странички стали очень медленно открываться, смотрю, комп вроде как что-то качает. Открываю статус соединения и вижу что очень шустро идет аплоудинг из-за даунлодинг практически стоит.
Ну я его отрубил. (уже накачало мега 2 от меня)
На тот момент у меня не было установлено ни файрвола, ни антивируса.
Дай думаю залезу через радиоскан на авп, скачаю обновленные базы и поставлю - наверное это было ошибкой - смотрю ситуация повторилась, аплоад здоровый, из-за даунлоудинг сдохший.
Отключил, полез по старым закромам, нашел ATguard 3.2 старый, 99 года. Раньше не ставил потому что на прошлой системе он у меня чего-то глючил.
Поставил, он меня попросил перезагрузиться, и после перезагрузки я увидел + 1 пользователя с паролем которого я не знаю :-) и именем cclogin.
Посмотрел его - записан в админы и юзера.
Полез в инет проверять ATguard, он сразу заматюхался на
1.winsvc.exe, который по сервису или порту epmap пытался чего-то качать от меня.
2.Еще был svchost.exe по 1900 порту.
В общем отрубил оба, после чего аплоад закончился.
Кстати, сначала winsvc.exe отрубил только по epmap, но он начал качать через другие порты и потом winsvc.exe я вообще отрубил всё исходящее.
К моменту написания у меня докачались обновления авп.
Вопросы:
1. Что за вирус и вирус ли?
2. Чего он от меня качает?
3. Скачал ли он пароли или еще чего-нить?
4. Как его эффективно удалить?
5. Можно ли просто удалить пользователя cc-login?
6. Как сделать так, чтобы добро это уже не встало на комп - какие патчи и к чему надо скачать?
7. Ну и как новый пользователь AtGUARD хотел бы знать каким приложениям по каким портам разерешено делать аплоад и даунлоад.
Всем заранее спасибо, проблема у меня еще не решена, пока писал было 80000 попыиток соединения по блокированным портам или как они там называются. Щаз поставлю новые базы авп и всё проверю. Если это вообще может помочь.
Пока буду проверять, моожет кто-нибудь ответит на вопросы.
Случилось это так - сидел на gprs mts (8-20 сегодня :-)
и в какой-то момент все странички стали очень медленно открываться, смотрю, комп вроде как что-то качает. Открываю статус соединения и вижу что очень шустро идет аплоудинг из-за даунлодинг практически стоит.
Ну я его отрубил. (уже накачало мега 2 от меня)
На тот момент у меня не было установлено ни файрвола, ни антивируса.
Дай думаю залезу через радиоскан на авп, скачаю обновленные базы и поставлю - наверное это было ошибкой - смотрю ситуация повторилась, аплоад здоровый, из-за даунлоудинг сдохший.
Отключил, полез по старым закромам, нашел ATguard 3.2 старый, 99 года. Раньше не ставил потому что на прошлой системе он у меня чего-то глючил.
Поставил, он меня попросил перезагрузиться, и после перезагрузки я увидел + 1 пользователя с паролем которого я не знаю :-) и именем cclogin.
Посмотрел его - записан в админы и юзера.
Полез в инет проверять ATguard, он сразу заматюхался на
1.winsvc.exe, который по сервису или порту epmap пытался чего-то качать от меня.
2.Еще был svchost.exe по 1900 порту.
В общем отрубил оба, после чего аплоад закончился.
Кстати, сначала winsvc.exe отрубил только по epmap, но он начал качать через другие порты и потом winsvc.exe я вообще отрубил всё исходящее.
К моменту написания у меня докачались обновления авп.
Вопросы:
1. Что за вирус и вирус ли?
2. Чего он от меня качает?
3. Скачал ли он пароли или еще чего-нить?
4. Как его эффективно удалить?
5. Можно ли просто удалить пользователя cc-login?
6. Как сделать так, чтобы добро это уже не встало на комп - какие патчи и к чему надо скачать?
7. Ну и как новый пользователь AtGUARD хотел бы знать каким приложениям по каким портам разерешено делать аплоад и даунлоад.
Всем заранее спасибо, проблема у меня еще не решена, пока писал было 80000 попыиток соединения по блокированным портам или как они там называются. Щаз поставлю новые базы авп и всё проверю. Если это вообще может помочь.
Пока буду проверять, моожет кто-нибудь ответит на вопросы.
!!!NickeL!!!
...
Оффтоп:
Или у кого-то такая же проблема, или я видел вас на ярмарке в ДК Чкалова... ;)
Или у кого-то такая же проблема, или я видел вас на ярмарке в ДК Чкалова... ;)
это у тебя klez.c поймался... winsvc.exe - он и есть. Отправить он ничего такого не мог, некуда ему, но, на всякий случай, поменяй пароль. Качай новые базы к антивирусу, сканируй, должно помочь. Пользователя удаляй. А по поводу svchost.exe - это основной хост-процесс виндов, пусть делает чего хочет, его нельзя блокировать... Нормальные файрволлы сами знают, как ему рулесы прописать. а ATGuard - лажа... Обходится запросто.
Вообщем поймал ты себе червя. WormBlast и т.п. Н а гпрс многи им переболели :). У меня стоит NAV 2003 и Outpost грамотно настроенный. И голова не болит
winsvc.exe можешь удалить ручками, потом убрать его из автозапуска. И вообще, работать в инете без AV-монитора-- дело неблагодарное. Так что грамотно настроенный файервол и антивирусник-- залог твоего здоровья. 