Показано с 1 по 11 из 11.

Убить Trojan-Dropper.MSExcel.Tored.a и зачистить следы (заявка № 5240)

  1. #1
    Korum
    Guest

    Убить Trojan-Dropper.MSExcel.Tored.a и зачистить следы

    Добрый день, уважаемые!

    Снова обращаюсь к вам за помощью. Необходимо убить сабж (классификация Касперского) и зачистить его следы в системе.
    В базу касперского троян добавлен сегодня с нашей подачи - отправили им на проверку. К сожалению, подозрения появились не сразу, поэтому зараженный Excel-файл был открыт на машине во внутренней сети (без доступа к интернету, без антивируса). Лицензионный Касперский PersonalPro с расширенными базами его на интернет-машине в момент получения файла сразу не определил.
    Чем чревато для локальной сети действие трояна (если чревато)?
    Логи прикладываю, если необходимо, могу прислать зараженный файл.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    55
    На первый взгляд все в норме, только заплатки не стоят. Зараженный файл пришлите в соответствии с правилами, проанализируем и можно будет сказать точнее о его вредоносных действиях.
    Вообще, судя по названию - это загрузчик троянов из сети, сам вряд ли несет диструктивные действия, подробнее после анализа.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Вот это вам, похоже, троян поставил:
    Нестандартный ключ Shell\Open для EXE файла: "D:\WINDOWS\System32\System "%1" %*"

    Пришлите, как написано в правилах, D:\WINDOWS\System32\System (уж не знаю, с каким оно расширением или вообще без оного).

    Потом попробуйте с помощью редактора реестра привести в чувство ключ HKEY_CLASSES_ROOT\exefile\shell\open\command - значение по умолчанию должно быть "%1" %*

    Невредно также будет прислать файлы от Interbase и Lingvo для включения в базу безопасных.

  5. #4
    Korum
    Guest
    Цитата Сообщение от Minos
    На первый взгляд все в норме, только заплатки не стоят. Зараженный файл пришлите в соответствии с правилами, проанализируем и можно будет сказать точнее о его вредоносных действиях.
    Вообще, судя по названию - это загрузчик троянов из сети, сам вряд ли несет диструктивные действия, подробнее после анализа.
    Файл закачал: Файл сохранён какvirus_443a6ea9c7e2e.zipРазмер файла26344MD5ce3fca9195ba6d352374d1aa9210c8a8

  6. #5
    Korum
    Guest
    Цитата Сообщение от pig
    Вот это вам, похоже, троян поставил:
    Нестандартный ключ Shell\Open для EXE файла: "D:\WINDOWS\System32\System "%1" %*"

    Пришлите, как написано в правилах, D:\WINDOWS\System32\System ...

    Потом попробуйте с помощью редактора реестра привести в чувство ключ HKEY_CLASSES_ROOT\exefile\shell\open\command - значение по умолчанию должно быть "%1" %*

    Невредно также будет прислать файлы от Interbase и Lingvo для включения в базу безопасных.
    ...\System закачал: Файл сохранён какVIRUS_443a70b06f1eb.ZIPРазмер файла4957MD56c5aa22b1429e0179aa30b2421bc334b

    По реестру - как сделать? В HKEY_CLASSES_ROOT\ есть только \exe (не exefile), а там только \PersistentHandler, что править?
    Последний раз редактировалось Korum; 10.04.2006 в 19:02.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Приложенный файл сохраните на диск, переименуйте его в exefile.reg, потом пните его мышкой и согласитесь на внесение изменений в реестр.

    Потом перезагрузитесь и повторите исследование системы.

    P.S. AVZ вроде бы тоже умеет восстанавливать эту настройку...
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Minos
    Вообще, судя по названию - это загрузчик троянов из сети, сам вряд ли несет диструктивные действия, подробнее после анализа.
    сам xls-файл - это дроппер, т.е. подбрасывает настоящие вредоносные файлы на диск и запускает их.
    например в c:\!\new2.exe.
    в данном случае подбрасывался файл c:\windows\system32\system размером 8192 байта, который в свою очередь обращался к адресу _http://chernik890.msk.ru/services.txt (уже закрыт).

  9. #8
    Korum
    Guest
    Цитата Сообщение от pig
    Приложенный файл сохраните на диск, переименуйте его в exefile.reg, потом пните его мышкой и согласитесь на внесение изменений в реестр.

    Потом перезагрузитесь и повторите исследование системы.

    P.S. AVZ вроде бы тоже умеет восстанавливать эту настройку...
    Сделал, вот новые логи.

    Файлы от Interbase и Lingvo закачал согласно правилам:
    Файл сохранён как VIRUS_443a7b9c1ac06.ZIP
    Размер файла 823494
    MD5 cd898917a857ed3e6af295881c956b67
    Вложения Вложения
    Последний раз редактировалось Korum; 10.04.2006 в 19:38.

  10. #9
    Korum
    Guest
    Цитата Сообщение от MOCT
    сам xls-файл - это дроппер, т.е. подбрасывает настоящие вредоносные файлы на диск и запускает их.
    например в c:\!\new2.exe.
    в данном случае подбрасывался файл c:\windows\system32\system размером 8192 байта, который в свою очередь обращался к адресу _http://chernik890.msk.ru/services.txt (уже закрыт).
    т.е. этот файл c:\windows\system32\system надо удалить, я правильно понимаю?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Да, теперь ваш d:\windows\system32\system можно побивать. AVZ на нестандартный ключ Shell\Open для EXE файла больше не ругается.

  12. #11
    Korum
    Guest
    Цитата Сообщение от pig
    Да, теперь ваш d:\windows\system32\system можно побивать. AVZ на нестандартный ключ Shell\Open для EXE файла больше не ругается.
    Удалил через отложенное удаление в AVZ.
    Всем большое спасибо.

  • Уважаемый(ая) Korum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Следы от Trojan.Downloader.Win32.Kido.bu
      От BooZ в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.05.2011, 09:56
    2. помогите,почистить следы от вирусов
      От paxton в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.12.2009, 15:51
    3. Ответов: 1
      Последнее сообщение: 30.06.2009, 08:47
    4. Как убить Trojan-Dropper.Win32.Agent.clv
      От Liss в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:41
    5. Как корректно вычистить следы Принтера
      От Daemon66 в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 01.06.2007, 02:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01000 seconds with 21 queries