Как выцепить трояна

[Слава]

Достатотчно давно где-то подхватил трояна. Он прицепился к VisualStudio и периодически, раз в 1-2 месяца, активируется. Обращается к неким адресам, разным в каждой активации. Например, в эту активацию к deploy.akamaitechnologies.com (это видно через TCPView). После нескольких дней неудачных соединений (я ему не даю) он опять на некоторое время прекращает действовать.

Ждал, что вот-вот он появиться в базах антивирусов, но этого всё никак не случается.

Как мне его отцепить?

Запустить VisualStudio под отладчиком? Практически это малореально...
Может, есть какие-то утилиты, позволяющие отследить гада...

[mx5]

Курицей пробовали склевать?
Ой...простите. CureIT drweb бесплатной просканьте систему.
Это может софт ваш на офсайт конектится куданибудь за обновлениями или еще чем. Если есть фаевол, запретите исходящие на этот адрес и включите логи и смотрите периодически. Вирусня обычно гораздо чаще себя проявляет если заражает систему.

[SinClaus]

deploy.akamaitechnologies.com - это хостинг большинства софтверных компаний, в т.ч. мелкомягких.
Софт без обновлений плесневеет, IMHO. Хотя может я по своему Арчу сужу

[Слава]

deploy.akamaitechnologies.com - это хостинг большинства софтверных компаний

Этот адрес (плюс еще два) только в этой автивации. До этого другие были...

Если есть фаевол, запретите ...

Я пока через hosts пробовал запретить, но, похоже связь идёт по ip а не имена, поэтому не срабатывает. Сильно выручает отсутствие внешки!

Я тут попробовал ProcMon из SysInternals - отследить, кто конкретно делает обращение, однако, он у меня почему то не смог отследить сетевые запросы. Файлы, запуски и т.д. нормально отлавливал, а сеть - нет. Может, это потому, что у меня Server2003. Хотя TcpView же работает. А может это троян блокирует ProcMon?

[Unit]

По-моему, у вас не троян, а тупо ВС пытается обновиться или проверить себя на обновления. Впрочем, последнее обычно идёт через WU.

[Слава]

По-моему, у вас не троян, а тупо ВС пытается обновиться ...

Против этой версии:

1. Адреса разные в разных активациях - вот некоторые из них:
92.123.155.72
92.123.155.25
23.60.69.136
23.60.69.150
92.122.208.193
92.122.208.176
213.248.124.82
213.248.124.51
Это за последние три активации.

2. Эта штука появляется не только в VisualStudio, она срабатывает по закрытию многих программ. Просто в VS это ПРОЯВЛЯЕТСЯ в виде затыка, когда я закрываю из под него программу, которую пишу - VS не может получить управление, пока по timeout не вылетит запрос трояна. Т.е., например, при отладке каждое завершение сопровождается ~30 сек. затыком. Когда закрываешь обычные проги, этот зависон просто не видно - визуально окно закрылось, а то, что там процесс ещё не заверщён и идёт сетевой запрос, заметно только с помощью TcpView.

3. Вряд ли запрос обновлений кем-то проектируется так, что-бы неответ вызывал затыки. Особенно в VS. Обычно всё идёт параллельным процессом...

[Unit]

Хорошо, а через Wireshark вы не пробовали посмотреть характеристику посылаемых пакетов?

[Слава]

Wireshark? Пока нет, просто не в курсе, что это. Спасибо за наводку.
Пытался отследить процесс, который инициирует запрос, но, как отписал выше, почему-то ProcMon ОТКАЗАЛСЯ вообще ловить сетевую активность. А другой утилиты я пока не нашёл.

[Слава]

Посмотрел, Wareshark - это, конечная, мощная штука, но немного не то - она не поможет добраться до файла, инициировавшего запросы.
P.S. Активность вируса уже пропала, опять не успел его поймать. Теперь только ждать до следующей активации месяца через полтора...