Убить Trojan-Dropper.MSExcel.Tored.a и зачистить следы
Добрый день, уважаемые!
Снова обращаюсь к вам за помощью. Необходимо убить сабж (классификация Касперского) и зачистить его следы в системе.
В базу касперского троян добавлен сегодня с нашей подачи - отправили им на проверку. К сожалению, подозрения появились не сразу, поэтому зараженный Excel-файл был открыт на машине во внутренней сети (без доступа к интернету, без антивируса). Лицензионный Касперский PersonalPro с расширенными базами его на интернет-машине в момент получения файла сразу не определил.
Чем чревато для локальной сети действие трояна (если чревато)?
Логи прикладываю, если необходимо, могу прислать зараженный файл.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На первый взгляд все в норме, только заплатки не стоят. Зараженный файл пришлите в соответствии с правилами, проанализируем и можно будет сказать точнее о его вредоносных действиях.
Вообще, судя по названию - это загрузчик троянов из сети, сам вряд ли несет диструктивные действия, подробнее после анализа.
Вот это вам, похоже, троян поставил:
Нестандартный ключ Shell\Open для EXE файла: "D:\WINDOWS\System32\System "%1" %*"
Пришлите, как написано в правилах, D:\WINDOWS\System32\System (уж не знаю, с каким оно расширением или вообще без оного).
Потом попробуйте с помощью редактора реестра привести в чувство ключ HKEY_CLASSES_ROOT\exefile\shell\open\command - значение по умолчанию должно быть "%1" %*
Невредно также будет прислать файлы от Interbase и Lingvo для включения в базу безопасных.
На первый взгляд все в норме, только заплатки не стоят. Зараженный файл пришлите в соответствии с правилами, проанализируем и можно будет сказать точнее о его вредоносных действиях.
Вообще, судя по названию - это загрузчик троянов из сети, сам вряд ли несет диструктивные действия, подробнее после анализа.
Вот это вам, похоже, троян поставил:
Нестандартный ключ Shell\Open для EXE файла: "D:\WINDOWS\System32\System "%1" %*"
Пришлите, как написано в правилах, D:\WINDOWS\System32\System ...
Потом попробуйте с помощью редактора реестра привести в чувство ключ HKEY_CLASSES_ROOT\exefile\shell\open\command - значение по умолчанию должно быть "%1" %*
Невредно также будет прислать файлы от Interbase и Lingvo для включения в базу безопасных.
Вообще, судя по названию - это загрузчик троянов из сети, сам вряд ли несет диструктивные действия, подробнее после анализа.
сам xls-файл - это дроппер, т.е. подбрасывает настоящие вредоносные файлы на диск и запускает их.
например в c:\!\new2.exe.
в данном случае подбрасывался файл c:\windows\system32\system размером 8192 байта, который в свою очередь обращался к адресу _http://chernik890.msk.ru/services.txt (уже закрыт).
Приложенный файл сохраните на диск, переименуйте его в exefile.reg, потом пните его мышкой и согласитесь на внесение изменений в реестр.
Потом перезагрузитесь и повторите исследование системы.
P.S. AVZ вроде бы тоже умеет восстанавливать эту настройку...
Сделал, вот новые логи.
Файлы от Interbase и Lingvo закачал согласно правилам:
Файл сохранён как VIRUS_443a7b9c1ac06.ZIP
Размер файла 823494
MD5 cd898917a857ed3e6af295881c956b67
Последний раз редактировалось Korum; 10.04.2006 в 19:38.
сам xls-файл - это дроппер, т.е. подбрасывает настоящие вредоносные файлы на диск и запускает их.
например в c:\!\new2.exe.
в данном случае подбрасывался файл c:\windows\system32\system размером 8192 байта, который в свою очередь обращался к адресу _http://chernik890.msk.ru/services.txt (уже закрыт).
т.е. этот файл c:\windows\system32\system надо удалить, я правильно понимаю?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: