PDA

Просмотр полной версии : Вопрос о "хозяине" троя.

Lizardman
05.03.2007, 01:12
Просьба не бить особо, если не ту ветку выбрал, просто эта вроде наиболее подходящая.

Включил я тут как-то раз фаер после 2х недельного перерыва. Сразу же ряд сообщений о сменившихся программах, новых подключениях.. Все как обычно, в общем. Правда среди этих сообщений и подозрительное упоминание об svchost.exe, находящемся почему-то в \system32\drivers. Дальнейшее рассмотрение показало, что в этом свчхосте сидит трой "в жопе". Сам не юзал, но с функциями знаком- неприятная штука. Причем, сразу недоумение- "как он попал-то ко мне?", тк хоть АВ пока и нет, но файлы принимаю осторожно, проверяю почти все на вирустотале.
Дальше решил раскопать логи. В логах все следы указали на одного моего хорошего знакомого из локалки. Прилагаю скрин логов, который и ему показал.
скрин (http://lizardman.jino-net.ru/question.jpg)
Он же, соответственно, клянется, что это не его работа. Этот чел мне много помогал с поднятием кс сервака в локалке, помогает с моим фтп. И от кого не ожидал, так от него.

Собсна, посмотрите плз. Возможны ли варианты, что работали через его комп (прокси)? Или гонево и это он? И еще вопрос- можно ли расковырять трой? Сейчас он валяется в карантине аутпоста.
tolstik
05.03.2007, 01:46
в теори возможно что твоему другу поставили прокси сервер и через него чтоб своий ип не светить конектились на тебя
на практике почти 100 % что это твой друг и делелал или это супер мега подстава )
Sov1et
05.03.2007, 01:58
В нэте чем лазишь?
Zitt
05.03.2007, 02:05
почти все
Всё проверяй =\\\
Твой знакомый мог и не знать, что с его компа к тебе конектицца.
KEZ
05.03.2007, 03:19
во первых, svchost.exe пишется русскими как "свцхост" или "свчост" и означает services host
во вторых, трой в него не встраивается, drivers\svchost.exe и есть твой трой; скажи спасибо ламакодерам которые до сих пор не научились скрывать свои творения в системе
в третьих, никогда не слышал про червей, которые особенно резво распространяются через локалку? винда у тебя как я понял не то что не пропатченая, а вообще без каких-либо обновлений. в червяках часто встроен код чужих сплоентов которым они хэкают все найденое вокруг, так и распространяются. какой вопрос такой ответ ...

> в теори возможно что твоему другу поставили прокси сервер
в теории слоны могут зайти в продуктовый магазин
cardons
05.03.2007, 04:06
Получить ты его мог через какой нить сполит с сайта.
Lizardman
05.03.2007, 10:48
Пасиба всем, отдельное спс Kez'у.
Юзаю оперу 9.10, под нее про закачивающие сплоиты(типа как под ИЕ) не слышал. Хотя не значит, что их нет))
Винда патченная, но не полностью...

Ага, ясно, спс еще раз) пойду дыры латать.