[IlyaSh]

Да, я перепутал. Называется "смерть ламера", сегодня на одном компе убил. Он прописал в win.ini c:\windows\system\... .exe
Почему пишу "...", так как название файлика явно поменяли.
Еще нашел NetBus - тоже троян. Одна из его запчастей - *patch.exe, которая было встроена в саму папку Windows. Но NetBus я просто знаю, сам нечаяно заразил свой комп(в смысле домашний).
*А вот то, что на одном компе и сервер и клиент, так это потому, что сначала на всех компах, кроме одного, стояли серваки. Потом кто-то нашел клиента на незараженном компе и растащил его на остальные.
Всех благодарю за помощ, спасибо.
З.Ы. Вообще на всякий случай поставлю Фаревалл и за одно анти-троян, все-таки безопаснее будет

[s]Исправлено: IlyaSh, 14:48 13-03-2003[/s]

[Artla]

IlyaSh
убей файл в папке c:\windows\system
называется winsock.exe

Добавлено:

IlyaSh
+ к этому вирус цепляется к системным файлам, по дефолту к internat.exe, проверь этот файл на вирусы.

[APOSTOL]

Ой, я от Ентого winsock.exe не мог отделаться, пока систему поверх не переставил. Он, зараза, оставляет после своего удаления ещё более мелкий троянчик для поиска самого себя на всех дисках (ищет флоппи, CD, даже в сеть лезет, я его файерволом застукал за этим делом). А ''насобирал'' я его там:
http://forum.oszone.net/topic.cgi?fo...&topic=545

[Artla]

Возможности вируса, версия 2.6

• Множество приятных мелочей, которых нет нигде;
• Воровать Кэшированные и Диалапные пароли, а также пароли популярных звонилок EDialer и MDialer;
• Присылать _новые_ пароли и другую информацию на ваш EMail, что очень удобно.
• Выбирать язык интерфейса. Доступны русский и английский языки;
• Выполнять автоапгрейд;
• Скачивать и запускать файл по указанному url;
• Запрещать чтение и изменение настроек без предъявления пароля;
• Следить за жертвой автообновлением позиции курсора мыши и содержимого экрана;
• Менять дату сервера на идентичную системным файлам Windows;
• Открывать порты только в онлайне;
• Автоудаляться через указанное количество дней;
• Закрывать окна файрволов при обнаружении;
• Закрывать окна известных антивирусов;
• Отправлять на icq отчёты об ошибках;
• Убивать, Закрывать, Показывать, Скрывать и Запрещать доступ к любому окну и процессу, менять заголовки окон;
• Выполнять стандартные операции с файлами, такие как Просмотр, Копирование, Удаление, Изменение, Поиск, Скачивание, Закачивание, Запуск и Воспроизведение, а также возможность просмотра по введённой маске;
• Эмитировать нажатия клавиш
• Устраивать чат с жертвой
• Создавать, Удалять, Изменять ключи и значения реестра;
• Управлять громкостью удалённого компьютера;
• Шпионить за нажатыми в оффлайне и в онлайне кнопками, сохранять архив нажатий;
• Показывать количество соединений и удалённые адреса каждого отдельного пользователя;
• Устраивать чат для всех пользователей, подключённых к данному серверу;
• Мигать лампочками, Изменять время и дату на удалённом компьютере, Открывать введённый URL в броузере и управлять выходом из Windows;
• Управлять CDROM'ом, включать/отключать сочетание Ctrl+Alt+Del, просматривать и менять содержимое Буфера обмена, Скрывать и показывать Таскбар, Трей, Часы, Рабочий стол;
• Менять местами кнопки Мыши, эмулировать одиночные и двойные нажатия любой кнопкой в любом месте экрана, Следить за перемещениями курсора;
• Сдирать скриншоты разного качества и размера, Следить за определённой областью экрана удалённого компьютера, Управлять питанием монитора и менять текущее разрешение;
• Выводить сообщения и окна ввода всех стилей;
• Собирать подробнейшую информацию о системе:
Версия и дата установки Операционной системы;
Количество сободных и занятых ресурсов;
Размер и процент использования файла подкачки;
Текущее разрешение монитора;
Временная папка и папка ОС;
Производитель, модель и частота процессора;
Общее количество и процент незанятой физической памяти;
Модель сетевой карты, если таковая имеется;
Подробная информация о каждом диске системы;
Зарегистрированное имя пользователя и организация;
Список почтовых ящиков со всеми параметрами;  


• Уведомлять вас на ICQ, когда юзер вышел в Онлайн;
• Также есть возможность Изменения имени файла-сервера , Пароля и Рабочего порта сервера. Ессесно присутствуют стандартные операции работы с сервером, такие как Закрытие, Удаление и Перезапуск;
• Вы можете указать папку для временных и скаченных файлов, настроить по своему усмотрению Интерфейс клиента и Качество камеры;
• Также клиент включает в себя утилиту Ху из (пинг, лукап) и красивый РУССКИЙ интерфейс!
• И это только основные возможности данного трояна.

Добавлено:

APOSTOL

Цитата:

Он, зараза, оставляет после своего удаления ещё более мелкий троянчик для поиска самого себя на всех дисках (ищет флоппи, CD, даже в сеть лезет, я его файерволом застукал за этим делом).

Хм, а как он назывался, какой был файл ???

[APOSTOL]

Я теперь уже не помню, тогда с перепугу  рушил всё подряд.

И по-моему, мы разговариваем о разных вирусах.

  Этот - в архиве называется crack.cab размером 252 Кб, внутри архива лежит crack.exe размером 263555 байт от 30.11.01. Если его запустить (а я чё-то больше не хочу), то он запихнёт в папку Windows файл Winsock.exe (это то, что я тогда заметил)
и распёхивает его автозапуски везде.
  Если убрать его самого и порушить автозапуски в нескольких местах реестра, sis.ini, win.ini, autorun.inf да и ещё не помню уже где, при запуске Проводника или Мой компьютер что-то такое лазеет по всем дискам, и если там найдётся этот Winsock.exe или crack.exe (даже в корзине) снова его запускает резидентно, без всякого Русского интерфейса. Хотя, может это серверная часть.
Валяется у меня с тех пор на флоппи.

[s]Исправлено: APOSTOL, 16:34 14-03-2003[/s]

[Niso]

V google-Panda active scan

[vunder]

Проанализируй, какие процессы "висят" в системе. Многие трояны маскируются под именами типа winsvr, winsvc, svchost (если NT-система). На NT-системе все упрощается: достаточно посмотреть, кто является владельцем процесса, т.е. тебя интересуют все процессы, запущенные текущем пользователем. Если владелец SYSTEM или LOCAL SERVICE, то все впорядке, т.к. под ними запускаются только системные службы. Троян не может быть с таким владельцем.

[zigzag75]

Компом нормальным обзавелся не так давно сейчас думаю о установке антивируса и файрвола программ куча.
помогите выбрать оптимальную для персонального, домашнего в сети находящегося часто.

[zif]

Выбери DrWeb, он маленький, удобный и качественный. Не даром же он один из лидеров (если не лидер ).
А ключ к рему ищи в разделе "кряковарез".

[Blast]

zigzag75
Вот здесь посмотри:
http://forum.oszone.net/topic.cgi?forum=5&topic=770