Комп ведет себя странно - самопроизвольно и бессистемно перегружается, причем это происходит только когда подключен инет. Достаточно тщательная проверка на вирусы ничего не дала. Означает ли это что установлен BackDoo как его обнаружить и обезвредить? Заранее спасибо
KrotReal, нормальный бэкдор будет маскироваться, так что, лишнего ты скорее всего ничего не увидешь. даже временное слежение за сетевой активностью не всегда может помочь, ибо бэкдор может находиться в спящем состоянии.
лучше всего переставить систему, если цель - работоспособность машины, а не обнаружение бэкдора.
Во-первых спасибо за ответы.То что переставить систему - поможет, это конечно ясно. А если всетаки хочется BackDoor обнаружить.... Насколько я поняла из предыдущего поста- это вообще говоря почти нереально, да?
без специальных навыков - нереально. самое простое, что посоветовал KrotReal - посмотреть активные процессы и автозагрузку. ты сможешь четко и однозначно идентифицировать все работающие на твоем компе процессы?
чтобы обнаружить бэкдор, который не обнаруживает антивирус и который не находится в автозагрузке в явном виде - нужно поместить компьютер в полностью контролируемую среду. контролировать трафик и файловую активность. потом тщательно изучать логи и сравнивать файлы и т.д.
Есть вариант, ещё поставить фаер, и если бэкдор находивщийся в "спящем состоянии" активизируется, то фаер спросит(если он правельно настроен), что-то типа: incomming connect blablabla & etc - тут само собой все раскроется ... проше вариантов пока нет...
кстати про фаер я ещё первым постил здесь, но мой ответ бл кем=то удален
1. Убиваешь все прцессы работающие с инетом (ICQ и тому подобное) 2. Скачиваешь с http://www.sysinternals.com/ntw2k/source/tcpview.shtml Tcpview 3. Закрываешь все IExplorer-Ы 4. Открываешь ТСPview и ждешь Establish записываешь на листочек "результат" 5. ... в том случае если есть TaskInfo определяешь процесс который запустил записанный на листочке процесс 6. Открываешь Google и в поисковике даешь имя файла если процесс относится к системным получишь подтверждение этому (в этом случае берешь "незараженную" PC и сравниваешь список DLL подгружаемых процессом , если увидишь "чужую" dll то всего скорее была иньекция ) запускаешь F3 -поиск.... локализуешь на диске в regedite gj F3 -поис .... локализуешь в реестре 7. Если троян то убеждаешься что запуск не был произведен по вирусной технологии , к примеру через ICQ(тут поможет опять TaskInfo) 8. Далее убиваешь сам троян и пути в реестре к нему HKLM/software/microsoft/windows/curr ent_version/ru n HKCU/-.....то же самое
какая ОС у вас? на примере Windows XP делаем так: заходим панель управления -> система -> дополнительно -> загрузка и восстановление -> параметры. Убираем галочку с "выполнить автоматическую перезагрузку". В группе "запись отладочной информации" выбираем "малый дамп памяти 64Кб" папка малого дампа "%SystemRoot%\Minidump". Все. Ждем когда появится синий экран. Смотрим имя драйвера и код ошибки. Переставляем драйвер. Если нужно более подробно, то перегружаемся и смотрим в отлатчике дамп памяти в папке %SystemRoot%\Minidump - надо взять последний по дате файл. Если сами не хотим смотреть шлем мне - denisNOSPAMixi.ru.
По поводу процессов: во первых осознаем что трояны могут прятаться, поэтому по Ctl-Alt-Del их не видно. во вторых те процессы которые вы не знаете смотрим например тут http://www.liutilities.com/products/wintaskspro/processlibra ry/ Но я думаю что просто валится драйвер сетевой карты.
Ясно. Просто вылечиться можно было, как писалось выше, переставив систему - и все. Хотелось не просто обезвредить, а именно обнаружить. Еще раз спасибо.