Показано с 1 по 15 из 15.

Подозреваю, что подцепил троянчик (заявка № 20688)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59

    Thumbs up Подозреваю, что подцепил троянчик

    Привет,

    От дурга по аське пришло сообщение:
    Привет, смотри!!!
    [URL]
    ( [URL] )
    Классная вещь! :-)
    По указанной ссылке архив с файлом TheBestMarch.src

    При попытке скачать его НОД(модуль контроля трафика) ругнулся на "вероятно модифицированный Win32/Statik"
    Скачал его на виртуалку с чистой WinXP (любопытный очень), посмотрел на него регмоном и снифером, вообщем что-то и куда-то он шлет, и при этом в реестре ищет инфу про IM-клиенты, почтовики и т.п.

    Обрадовал друга - и тут он мне выдал, что от меня тоже такое сообщение приходило.

    Вот теперь уж мне стало не просто любопытно, что же это за зверек такой, как от него избавится и какие пароли мне прийдется менять.

    Спасибо.

    p.s. извините, что без логов, до домашнего компа доберусь только завтра, если без них никак, то не наказывайте меня, завтра выложу.
    Последний раз редактировалось Макcим; 31.03.2008 в 00:20. Причина: Ссылки на потенциально опасные сайты давать запрещено!!!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Нужны логи, без них нельзя разобраться.

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59
    "Завтра" наступило быстрей чем расчитывал
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    В логах ничего особо подозрительного не видно, но можно кое-что проверить, поэтому выполните скрипт в AVZ:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe','');
    QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe','');
    QuarantineFile('C:\WINDOWS\Installer\47a022.msi','');
    QuarantineFile('C:\WINDOWS\system32\shell32.dll','');
    QuarantineFile('C:\WINDOWS\86EB~1.SCR','');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
    QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
    QuarantineFile('C:\WINDOWS\system32\wininet.dll','');
    QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
    QuarantineFile('C:\WINDOWS\system32\kernel32.dll','');
    QuarantineFile('C:\WINDOWS\Explorer.EXE','');
    QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    DelBHO('{16664845-0E00-11D2-8059-000000000000}');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20688 ).

    Вот это Вам знакомо?
    c:\program files\speedfan\speedfan.exe
    Unlocker
    C:\Program Files\uTorrent\uTorrent.exe
    D:\Install\Tools&Utils\Ускоритель Графики 3D Игр\G3dAccel.exe
    E:\temp\blinder\muBlinder.exe
    Если что-то незнакомо, то тоже пришлите по указанной выше ссылке в zip-архиве с паролем virus.

    P.S. MSIE: Internet Explorer v8.00 (8.00.6001.17184) - это интересно
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59
    Карантин залил.

    Вот это Вам знакомо?
    c:\program files\speedfan\speedfan.exe
    Unlocker
    C:\Program Files\uTorrent\uTorrent.exe
    D:\Install\Tools&Utils\Ускоритель Графики 3D Игр\G3dAccel.exe
    E:\temp\blinder\muBlinder.exe
    Speedfan.exe - утилита для мониторинга температуры, управления кулерами, вольтажем и т.п. офф.сайт: http://almico.com/speedfan.php
    Unlocker - Позволяет посмотреть каким процессом заблокирован файл\директория и при желании разблокировать. офф.сайт: http://ccollomb.free.fr/unlocker/
    uTorrent.exe - BitTorrent-клиент. офф.сайт: http://utorrent.com/
    G3dAccel.exe - из описания: "Программа подменяет самые часто используемые функции DirectX собственными, написаными на ассемблере, что значительно ускоряет их исполнение". Буду благодарен елси скажете стоит ли использовать, так как я пока особого толку не заметил (нашел недвано, а в игры не играю особо). Залил туда же куда и карантин, тоже с паролем virus.
    muBlinder.exe - офф.сайт: http://www.p2plife.com/forums/Offici...Page-t320.html

    P.S. MSIE: Internet Explorer v8.00 (8.00.6001.17184) - это интересно
    Сырой до невозможности, если бы пользовался ИЕ, то не ставил бы его, а так просто из любопытства установил

    Спасибо.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    TheBestMarch.scr_ - Trojan-PSW.Win32.LdPinch.sfb - этот у вас на этом компьютере (с которого логи) был активный или Вы просто скачали по ссылке из аськи (на этом компьютере не запускали) и закачали его нам? Он вор паролей - меняйте все пароли.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59
    Цитата Сообщение от kps Посмотреть сообщение
    TheBestMarch.scr_ - Trojan-PSW.Win32.LdPinch.sfb - этот у вас на этом компьютере (с которого логи) был активный или Вы просто скачали по ссылке из аськи (на этом компьютере не запускали) и закачали его нам? Он вор паролей - меняйте все пароли.
    Извините, не совсем понял...

    TheBestMarch.scr сознательно скачивал и запускал только на вирутальной машине (MS VirtualPC).

    Я так понял компьютер им всетаки заражен(все логи только с одного компа). Если так, то как от него избавится, невижу смысла менять пароли пока он у меня сидит. Или уже все чисто?

    Вам я закачивал только карантин и программку G3dAccel.exe

    Спасибо.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Этот пинч самоликвидируется.

  10. #9
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59
    Цитата Сообщение от Гриша Посмотреть сообщение
    Этот пинч самоликвидируется.
    Итог?
    Все пароли менять.
    Ничего не лечить.
    Так?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    примерно ....

  12. #11
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59
    Мда, я ожидал более конкретного ответа.

    Ну ладно, пойду менять пароли, всем спасибо за помощь.
    Замечательный сервис. Жаль, что в тех.саппорте моего провайдера не такие люди работают

    Спасибо.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Файлы, которые Вы тогда загрузили, видимо чистые (отсылались в Лабораторию Касперского. Детекта нет.) На всякий случай можете выполнить еще пункт 2 правил (проверка CureIt! - если еще не выполняли).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    30.03.2008
    Сообщений
    7
    Вес репутации
    59
    К сожалению, не представляю себе как загрузить компьтер в безопасном режиме по РДП. Но как только доберусь до компа физически - обязательно сделаю.

    Ну что ж если больше рекомендаций нет - то тему можно закрывать, или как тут поступают с подобными темами в кторых вопрос решен.

    Еще раз всем спасибо.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. \\thebestmarch.scr - Trojan-PSW.Win32.LdPinch.sfb (DrWEB: Trojan.PWS.LDPinch.1941)


  • Уважаемый(ая) SuperFly, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подцепил троян
      От Mark2 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 20.11.2010, 17:14
    2. Подозреваю что есть троян
      От AndreySh в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.05.2010, 21:36
    3. Подозреваю троян
      От fuwaneko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 08:19
    4. подцепил троян
      От Platonn в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:44
    5. Помогите! Подозреваю, прокси-троян.
      От DmitriyGr в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.03.2007, 18:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00423 seconds with 20 queries