Я поймал 2 трояна:
1 ТРОЯН) непростительно глупо открыл файл который пришел по аське (я его проверял NOD32):
троянская программа Trojan-PSW.Win32.LdPinch.ynf
Файл: C:\Program Files\QIP\For My Friends.rar/For My Friends.exe
После этого у меня на моем сайте на индексную страницу добавился script. Похоже этот троян украл пароль через total commander на ftp
Обновленный KIS 7 нашел и удалил:
троянская программа Trojan-PSW.Win32.LdPinch.ynf
Файл: C:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP417\A0148875.exe
not-virus:Hoax.Win32.VB.x Файл: D:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP430\A0153801.exe
Drweb CUREIT в безопасном режиме нашел эти файлы зараженными Trojan.PWS.QQSpy.origin:
mtrans.exe C:\Documents and Settings\1\Рабочий стол\mtrans.exe
A0154267.exe C:\System Volume Information\_restore{E53B6B98-DAB3-4808-AF49-76D584352906}\RP433\A0154267.exe
Он их отправил в карантин \Quarantine\ они там и лежат по сей день.
================================================== ======
2 ТРОЯН) Нашел крэк для befaster, проверил KIS 7 (все было ок) и запустил. Kis стал ругаться, первое действие я разрешил, а остальные 2 отменил.
После перезагрузки :
Только сообщение что-то типа: "Окно личные настройки . Службы services". Рабочий стол пустой, винт время от времени что-то подгружает, но в итоге все так и остается.
В безопасном режиме обнаружил этот service тут:
C:\Program Files\Services.exe
Нашел в реестре такую запись:
-------------------------------------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
stubpath=C:\Program Files\Services.exe
-------------------------------------------------------------
ЗАМЕНИЛ: stubpath=%SystemRoot%\system32\services.exe
А 2 файла Services.exe и Mswinsck.ocx (они были рядом) сжал и спрятал.
В обычном режиме комп загрузился. КиСом проверил папки:
Windows, Documents and Settings, Program Files, System Volume Information, Temp
Обнаружил:
Trojan.generic Процесс: C:\Program Files\BeFaster\Crack.exe (befaster анинсталировал)
Я его удалил.
В автозагрузке было: KB_963491.exe в папке c:\windows\system32\
Похоже это тоже был вирус , но я его в этой папке не нашел, в автозагрузке я его отключил.
Самое обидное что после отключения в реестре
C:\Program Files\Services.exe, о котором я писал выше , исчезли все СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ, если открываю папку СЕТЕЫЕ ПОДКЛЮЧЕНИЯ , выводится:
"Не удается поместить список сетевых устройств компьютера в папку "сетевые подключения",проверьте что служба сетевых подключений включена и выполняется".
В обычном режиме загрузки XP, в реестре нашел еще ссылки
на C:\Program Files\Services.exe, переименовал их на C:\WINDOWS\system32\Services.exe
----------------------------------------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
параметр C:\Program Files\Services.exe значение Services
HKEY_USERS\S-1-5-21-4105050024-325968112-3228587436-1006\Software\Microsoft\Windows\ShellNoRoam\MUICac he
параметр C:\Program Files\Services.exe значение Services
----------------------------------------------
Сетевых подключений как не было так и нет.
Логи ниже. Заранее благодарю за помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Моя ошибка... У Вас есть этот файл wlinject.exe где-нибудь? Его нужно восстановить через консоль восстановления.
Если Вы закачали карантин - я дам Вам файл.
Попытаюсь его найти в папке через консоль восстановления.
Он там под комичным именем avz00001.dta. Его нужно переименовать в wlinject.exe и скопировать обратно в C:\WINDOWS\system32\wlinject.exe.
Еще раз извините
Ну. надеюсь все закончится хорошо, без форматирования диска :-)
Я зашел через компакт диск в консоль восставления, но он мне доступ не дает к папке program files и ниже.
Я попытался через команду set снять ограничения, но он пишет, что это команда сейчас недоступна и она доступна только во время использования интегрированной надстройки анализа и настройки безопасности .
Я зашел через компакт диск в консоль восставления, но он мне доступ не дает к папке program files и ниже.
Знаете почему? В консоли восстановления допустимы только имена в формате DOS8.3 (8 символов имя+3 символа расширение), т.е. путь C:\Program Files\ должен задаваться как C:\progra~1\...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: