Показано с 1 по 16 из 16.

Последствия зловредов или кривые руки? (заявка № 47997)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55

    Thumbs up Последствия зловредов или кривые руки?

    Вечер добрый
    Цель моего запроса - выяснить: являются ли нижеописанные неудобства следствием бурного троянского прошлого или просто надо сменить прокладку между компом и креслом.

    Появившиеся глюки:

    1. Всегда. Как-то вдруг стал заметно тормозиться вызов окна с выбором принтеров (лабуда, которая вызывается нажатием Ctrl+P, в любом приложении) - приходится ждать значительно дольше прежнего.

    2. Время от времени. При отправке документа на печать иногда на принтер отправляется непонятно большой объем трафика (например, 200+ МБ при печати документа объемом в 1МБ)

    3. Всегда. В браузере (использую исключительно Firefox) тормозит окно с выбором файлов для аттачмента.

    4. Время от времени. При обращении к страницам, использующим php, вместо загрузки страницы выскакивает предложение сохранить php-файл. Вообще, не уверен, стоит ли этот момент рассматривать, т.к. у нас плохая связь, с большой патерей пакетов.

    Система, условия работы:

    XP Home, SP3. Обновления могу приносить только из дома (трафик дорогой). Браузер - Firefox 3.0.11. Постоянно загружены: браузер, ОпенОфис, 1С:Предприятие.
    Антивирь: Комодо.

    Принтеры, установленные в системе: Samsung 2540, Brother MFC 7420

    Троянское прошлое:

    Живность принесли на флешке мобилки еще в начале года. Определилось Др.Вебом Trojan.MulDrop.6474 (файлы autorun.inf и m1t8ta.com в корневых каталогах всех дисков, локальных и сменных, и файлы amvo.exe в системных папках, включая Restore)
    Trojan.Downloader, не помню, увы, какой. Прописался в системных папках, включая Restore.
    Последствия: блокировка regedit, блокировка изменений свойств папки, запрет показа скрытых файлов. Почему-то зараженные флэшки открываются автозапуском, несмотря на запрет последнего для сменных носителей.
    Итог: заразу срезали в безопасном режиме с помощью CureIt! и AVZ. С помощью AVZ восстановили настройки системы.

    В настоящее время систему иногда посещают бедствия в лице приходящего бухгалтера или начальника, сующих свои флэшки. Так что вышеописанные трояны периодически всплывают снова и, в случае везения, срезаются Комодо.

    Собственно вот.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\F8CC042A.exe','');
     DeleteService('F8CC042A');
     DeleteService('A9AC55D5');
     QuarantineFile('C:\WINDOWS\system32\A9AC55D5.exe','');
     DeleteService('D767B450');
     QuarantineFile('D767B450.sys','');
     QuarantineFile('6791D326.sys','');
     DeleteService('6791D326');
     DeleteFile('6791D326.sys');
     DeleteFile('D767B450.sys');
     DeleteFile('C:\WINDOWS\system32\A9AC55D5.exe');
     DeleteFile('C:\WINDOWS\system32\F8CC042A.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    Карантин пустой, в списке файлов ничего нет. Скорее всего, Комодо на эти файлы когда-то среагировал, а я без задней мысли их удалил, и остались только прописанные сервисы -__-.

    Следует заметить, что после первой установки и обновления базы, Комодо не обнаружил ничего подозрительного (а неполадки в системе начались до установки антивируса). Реакции были позже (на флэшку начальника с очередным выводком ранее описанного Trojan.Muldrop).

    Логи. Скрипт №3 AVZ завершать отказался, вылетев с ошибкой. Переустановка, с обновлением базы, не помогла. Так что прилагаю, что получилось.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Отключите автозапуск, как написано в разделе "Чаво".

    Повторите для порядка логи, сделав их при помощи AVZ из моей подписи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    Сделано. Если, конечно, я правильно все понял


    P.S. Причина предложений сохранить php, видимо, все же в плохой связи: когда антенну ветром не шатает, и больших потерь пакетов нет, страницы открываются вполне "штатно"
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Для порядка подчистим:
    Код:
    begin
     DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
     DelCLSID('201f27d4-3704-41d6-89c1-aa35e39143ed');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
    ExecuteSysClean;
    end.
    Повторите 2-ой станд. скрипт.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    AVZ из Вашей подписи показывает наличие в карантине файла system32\guard32.dll "Подозрение на keylogger или троянскую DLL"
    Прислать карантин или не обращать внимания?

    (добавлено)

    Это относилось к прошлому моему сообщению

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    Сделано

    P.S. Окно аттачмента перестало тормозить, сохраняется пока что заторможенность с вызовом окна печати
    Вложения Вложения
    Последний раз редактировалось Wiesel; 16.06.2009 в 14:16.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Wiesel Посмотреть сообщение
    AVZ из Вашей подписи показывает наличие в карантине файла system32\guard32.dll "Подозрение на keylogger или троянскую DLL"
    Прислать карантин или не обращать внимания?
    Нет, не надо. Это от Comodo.

    Добавлено через 1 минуту

    Я более ничего плохого не вижу.
    Последний раз редактировалось PavelA; 16.06.2009 в 14:24. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    То есть причина тормозов с печатью кроется уже или в настройках или драйвера не хотят ставиться по Фэн Шую. Жаль-жаль, специалист из меня тут, мягко говоря... >.<

    Но по крайней мере сама система стала немного пошустрее. Аттачменты в браузере, опять-таки, не тормозят, что уже радует. Так что спасибо, что уделили мне время

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    c:\program files\brother\controlcenter2\brctrcen.exe - через AVZ Менеджер автозапуска отключить и попробовать печатать.
    Бывает, что всякие примочки от принтеров тормозят.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    Увы, не особо помогло. В Офисе и блокноте тормозит только первый вызов печати, в 1С и браузере - каждый раз
    В общем, даже без понятия, где я не так (или не там) молотком стукнул...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Один из принтеров - сетевой скорее всего. Он какой - автоопределенный или установленный?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    Кстати, возможно. Проверю завтра. Про это я как-то и забыл. Подобие сети у нас есть. Интернет встал сразу, файлообмен скрутил фигу. А вот печать, кажется, избирательно работала. Возможно, я просто один из принтеров, отключив от своей машины, подключил к другой, а драйвера естественно установлены на все, что шевелится.

    Что в этом случае? Удалить из системы все принтеры, которые не подключены непосредственно к моей машине (тем более, что с моего места необходимости в сетевой печати больше нет)?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Попробуйте. Раз сетевая печать не нужна, то хуже не будет. И вообще лишние сущности мешают.

  17. #16
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    55
    Собственно, так и есть. Убрал лишнее - и печать стала включаться моментально. В общем, вам, господа, большое спасибо. В настоящее время проблем по сабжу не наблюдается. Надеюсь, конечно, что не скоро придется тратить ваше время снова Хотя с приходящим бухгалтером и директором, который до сих пор свой домашний компутер не почистил, это все надежды
    Так или иначе, тему с рекомендациями я прочитал, постараюсь их выполнить.

  • Уважаемый(ая) Wiesel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. updatessys и мои кривые руки [Trojan-Ransom.Win32.Cidox.sfx ]
      От Pantagruel в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2012, 13:53
    2. Ответов: 8
      Последнее сообщение: 31.01.2011, 13:38
    3. Банер + Кривые руки = Прошай интернет
      От FryReadfield в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.05.2010, 00:12
    4. Самодеятельность или кривые руки))
      От hammmer1982 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.02.2010, 23:05
    5. Вирь или кривые руки?
      От Elite в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.02.2010, 01:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00956 seconds with 18 queries