Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Троян, Руткит и шпион одновременно (заявка № 16862)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    Thumbs up Троян, Руткит и шпион одновременно

    Здравствуйте!
    28дек07 Касперский 4.5 (последнее обновление 23окт07 - закончилась лицензия) обнаружил Trojan.Win32.Agent.asu в файле ..\system32\DefLib.sys.
    14янв08 После загрузки стало появляться окошоко: "Работа мастера регистрации невозможна, поскольку необходимые сведения о системе отсутствуют или недоступны."
    16янв08 В Диспетчере задач увидел процессы w32sys5.exe, w32sys7exe, w32sys15.exe, aspnet_state.ex. Остановил их, удалил файлы w32sys...exe
    17янв обнаружил, что "исполняемый файл" службы MDM (не запущенной) С:\WINNT\system32\w32sys7.exe
    Отсортировав по дате, последние файлы проверил на сайте Касперского:
    ~tmp1174.exe (13.11.2007, 3 082 b) Trojan-Downloader.Win32.Small.gqc
    necsort.sys (28.12.2007, 8 192 b) Rootkit.Win32.Agent.sh
    winlogon.exe (28.12.2007, 32 768 b) Trojan-Proxy.Win32.Small.ig
    Kaspersky Online Scanner нашёл:
    Оперативная Память:
    [208] WINLOGON.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
    [868] IEXPLORE.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
    Важные объекты:
    C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_ state.exe Trojan-Downloader.Win32.Agent.hhj
    C:\WINNT\system32\pspv.exe not-a-virusSWTool.Win32.PassView.160
    Мой компьютер:
    в Temporary Internet Files\..\..\other-archive.narod[1] Trojan-Downloader.JS.Remora.bp
    C:\sysbvkn.exe Packed.Win32.Tibs.dc

    Я пытался удалять ссылки на инфицированные файлы из реестра, удалял сами файлы, но проблемы оставались.

    21янв, следуя Вашей инструкции, проверил CureItом:
    kdshq.exec:\winnt\system32Модификация Trojan.Packed.156Перемещен.ntos.exec:\winnt\system32Trojan.Proxy.2634Удален.

    Сейчас установил Kaspersky Internet Security 7, и с виду всё спокойно, но я боюсь, что установленные сверху антивирусы заразу могут не узнать, кроме того большую часть предупреждений Касперского я не понимаю - не спец
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Судя по логам, зловредов у вас не осталось, только следы.
    Да еще испорчены системные службы Alerter, MDM и RasMan.

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\winnt\system32\regwiz.exe,
    O2 - BHO: Editor plugin - {5C6D29BE-AFF8-4cb9-B9F9-EA3289051E73} - drive01.dll (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINNT\system32\svshost.dll (file missing)
    Добавлено через 5 минут

    Что касается служб, то первые две вряд ли вам когда-нибудь понадобятся, а вот последняя - это Диспетчер подключений удаленного доступа. Для его восстановления следует экпортировать с такой же, но здоровой системы ключ реестра HKLM\System\CurrenControlSet\Services\RasMan и импортировать в свой реестр.
    Последний раз редактировалось Bratez; 23.01.2008 в 14:33. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    Что дальше?

    Благодарю за хорошее известие. HiJackом профиксил,
    а как импортировать-экспортировать?
    важно, чтобы виндоуз была точно такая же? я боюсь, что не найду такой... везде ХР
    может вручную скажете, что добавить?
    если не восстановить этого диспетчера, что будет?

    и главное: как дальше защищаться?
    чтобы не на каждое открытие браузера предупреждение выскакивало, но и чтобы не просмотреть никого?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Экспортировать из regedit - выделить нужный ключ, Файл - Экспорт... Сохраняется *.reg файл. Для импорта достаточно сделать двойной клик на этом файле и согласиться с предложением добавить в реестр. Вот только не знаю, подойдет ли ключ от ХР. Попробовать-то можно, хуже от этого не станет.
    Если у вас интернет сделан по локалке, то в принципе RasMan вам тоже не нужен, и можно этим не морочиться.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    ещё раз

    спасибо, всё понял.
    Ещё только забыл спросить (раньше такого не было):
    при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?

    И на будущее всё-таки, пожалуйста, дайте совет: Касперский7, avz, AVG, Panda, ...?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?
    Хм... похоже, мы что-то упустили. Сделайте еще раз логи, посмотрим.

    Добавлено через 5 минут

    Касперский7, avz, AVG, Panda, ...?
    AVZ в этом списке лишний, т.к. не выполняет функции постоянной защиты, а предназначен для исследования и лечения зараженной системы. Лично я предпочитаю KAV/KIS, также неплохой вариант DrWeb. Панду не советую.
    Последний раз редактировалось Bratez; 23.01.2008 в 16:17. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33
    После вчерашних манипуляций стало ещё появляться окно установки нового оборудования (неизвестного, никаких драйверов для него нет) - я выбрал "отключить оборудование".

    Логи в приложении.
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Я предложу убрать вот этот мусор:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111157}');
     StopService('MDM');
     DeleteService('MDM');
     StopService('Fax');
     DeleteService('Fax');
     StopService('Alerter');
     DeleteService('Alerter');
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    переадресация остаётся

    мусор убрал, но всё остальное по-прежнему,
    разве что при загрузке не появляется ошибка Мастера регистрации...

    на всякий случай логи...

    прошу, скажите, как дальше жить
    интернет-банком, например, можно пользоваться?
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Мусор не убрался. Выполните такой скрипт:
    Код:
    begin
     BC_DeleteSvc('MDM');
     BC_DeleteSvc('Fax');
     BC_DeleteSvc('Alerter');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, что из этого нужно:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Messenger)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (mnmsrvc)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.

    Пользоваться можно всем, только смените все пароли.
    I am not young enough to know everything...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Alerter - это вы зря на системную службу наезжаете, IMHO. Не нравится - поставьте в отключение.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    @pig:
    O23 - Service: Alerter - Unknown owner - C:\WINNT\system32\w32sys7.exe (file missing)
    "Системное" тут только название осталось...
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    ничего не нужно

    я только не знаю, что такое mnmsrvc, а без остального точно смогу обойтись
    мне вобще не надо ничего удалённого или автоматического.
    мне доступ в интернет лишь бы был, оффлайновые приложения чтобы работали, и чтобы из вне при этом доступа не было...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Если локальной сети, то можно выполнить (оставил автозапуск с CD):
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    сеть есть

    У меня доступ в инет организован через маршрутизатор.
    Некое подобие локальной сети тоже при этом присутствует -
    я вижу расшэреные папки соседней машины...

    И, возвращаясь, к главному:
    при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?

  17. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Скажите адрес открываемой страницы.
    Это Ваши адреса?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1D7D78AF-347A-4BE8-818F-5849400181EA}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = company.abi.ru
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
    O17 - HKLM\System\CS2\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
    O17 - HKLM\System\CS3\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105

  18. #17
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33
    http://sedoparking.com/parking.php4?...=www.domdel.ru
    http://unavailablepage.com/?prvtof=8...oPi%2F9A%3D%3D
    http://www.clckm.com/?dn=ybbsu.com&p...xe%2BwxlMd0%3D

    company.abi.ru - это домен, в котором когда-то работала машина в локальной сети - он уже никогда не понадобится,
    а в остальных адресах я не уверен - скажите, как проверить?

  19. #18
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Цитата Сообщение от АнтонМГ Посмотреть сообщение
    а в остальных адресах я не уверен - скажите, как проверить?
    Узнайте у провайдера.

    Добавлено через 6 минут

    AVZ => Сервис => Поиск данных в реестре. На странице "Параметры поиска" поставьте все галочки. По очереди ищите следующие слова
    Код:
    sedoparking.com
    domdel.ru
    unavailablepage.com
    prvtof
    clckm.com
    ybbsu.com
    Прикрепите протоколы поиска по каждому результату.
    Последний раз редактировалось Макcим; 28.01.2008 в 13:09. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    DNS были изменены!

    Эти адреса, о которых вы спрашивали, привели меня сюда:
    http://www.domainserror.com/index.php
    Добрые ребята говорят, что гораздо лучше, если вместо ошибки при неправильном наборе адреса будет открываться страница, похожая на ту, которую вы неправильно набрали, - короче просто увеличивают трафик на сайты, которые им надо!
    Причём предлагают специально установить эту "утилиту". Правда иногда, говорят, она и без Вашего ведома оказывается установленной
    Вобщем, они поменяли мне DNS адреса. Теперь, когда я восстановил такой же, как на соседней машине, переадресация исчезла!

  21. #20
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    33

    Как отключить всё лишнее, кроме сети?

    1) Посмотрите, пожалуйста, удалился ли на этот раз "мусор".

    2) Я хочу отключить лишние службы, но чтобы не потерять сеть и оставить возможность для работы программ типа RegCleaner, чтобы можно было всякие лишние Автозапуски удалять.
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  • Уважаемый(ая) АнтонМГ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Троян-шпион распространяется с программой для анонимного веб-серфинга
      От CyberWriter в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 31.05.2012, 17:10
    2. Назойливый троян-шпион
      От fr0st94 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 14.11.2011, 08:40
    3. Возможный троян-шпион на машине
      От Hatchling в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:28
    4. шпион и троян
      От dsa2 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 06:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01665 seconds with 23 queries