Trojan-PSW.Win32.LdPinch.bcv...

[Shadow[13]]

Trojan-PSW.Win32.LdPinch.bcv и кажется в результате этой гадости появилось: Backdoor.Win32.Bifrose.abt
Подозрительные процессы убил, скопировал файлы(заархивировал копии), удалил файлы, удалил все упоминания о них в реестре, проверил он-лайн тестом касперского...

Проверял всё Dr.Web, NOD32, AVZ и Ad-Aware:
Dr.Web обнаруживает только первоначальный файл

NOD32 вообще ничего не обнаруживает

AVZ так же как и NOD32 ничего не обнаружил

Ad-Aware находил и убивал(2 раза) какой-то Trojan.Downloder.am(кажется, точно не помню), перестал находить его после того как я обнаружил процесс "Microsoft.exe"(Backdoor.Win32.Bifrose.abt) в автозагрузке(через реестр) и удалил все ключи в реестре содержащие упоминания о "Microsoft.exe" и удалил сам файл...

Копии файлов я сохранил, вохможно кроме одного, который был убит Ad-Aware'ом, в последсвии я нашел упоминание о файле с очень похожим именем в вирусной энциклопедии касперского, когда смотрел информацию об одной из версий Backdoor.Win32.Bifrose...

P.S. я надеюсь ничего нигде не напутал... в смысле по поводу правил постинга мессаг тут...

[MOCT]

с правилами все нормально
просьба прислать сохраненные копии вредоносных программ для анализа (по правилам форума).

также пришлите на проверку:
C:\Program Files\Outlook Express\wabfind.dll
C:\Program Files\Opera\Plugins\npwthost.dll

[drongo]

WinPcaprpcapd.exe сами ставили ?

[Shadow[13]]

с правилами все нормально
просьба прислать сохраненные копии вредоносных программ для анализа (по правилам форума).

также пришлите на проверку:
C:\Program Files\Outlook Express\wabfind.dll
C:\Program Files\Opera\Plugins\npwthost.dll

"C:\Program Files\Outlook Express\wabfind.dll" пропал, пробовал искать через AVZ(как описанно в правилах), безрезултатно... папка "C:\Program Files\Outlook Express\" пуста, в прочем я помнится пытался убить аутглюк на совсем, только непомню увенчались-ли мои попытки успехом...

Всё остальное закачал(надеюсь я тут тоже ничего не напутал):

Файл сохранён как 061119_061009_shadow13_45603b91d61d6.rar
Размер файла 233257
MD5 1f030642d7b8a21862e785d8c24d26cf

WinPcaprpcapd.exe сами ставили ?

Ага...

[MOCT]

в AVZ в Менеджере расширений проводника удалите строку с упоминанием файла C:\Program Files\Outlook Express\wabfind.dll

кстати, а откуда пинча подцепили?

[MOCT]

npwthost.dll - кусок рекламного трояна WildTangent. детектируется BitDefender 7.2 11.19.2006 Adware.Wildtangent.B . можно удалить отложенным удалением в AVZ.
еще поищите wthost.exe. также может присутствовать папка c:\windows\wt\

spex.exe - дроппер, файл Pinch;001.exe склеенный с флешкой drag_and_go_back_spezial.swf (женская задница )

microsoft.exe - дроппер, детектируется как Backdoor.Win32.Bifrose.abt, содержит в себе зашифрованный Backdoor.Win32.Bifrose.d, который в свою очередь содержит Trojan-Spy.Win32.Agent.ca.

рекомендуется поменять пароли на интернет, собственные сайты, ICQ, почту.

[Shadow[13]]

в AVZ в Менеджере расширений проводника удалите строку с упоминанием файла C:\Program Files\Outlook Express\wabfind.dll

кстати, а откуда пинча подцепили?

Не удаляется... хотя может оно и удалилось, но потом восстановилось... после третьего нажатия на кнопку удаления оно пропало и появилось в конце списка...

А подхватил я эту гадость... м... ну через мессаг по аське... мессаг был такого содержания:
"http://[censored]/spex.zip
взгляни!как тебе?!"
в прочем перед тем как запустить эту гадость я почти на 100% был уверен в том что там ничё хорошего нету, а скорее всего вирь/трой/и т.п. , но любопытсво победило... =) через пару минут я узнал что человек, якобы приславший мне это сообщение потерял свою аську, тогда сразу и начал нервничать... погуглил по имени файла немного, доктора веба скачал, проверился...

-------------------------------------------------------

npwthost.dll - кусок рекламного трояна WildTangent. детектируется BitDefender 7.2 11.19.2006 Adware.Wildtangent.B . можно удалить отложенным удалением в AVZ.
еще поищите wthost.exe. также может присутствовать папка c:\windows\wt\
...

Сделано

...
рекомендуется поменять пароли на интернет, собственные сайты, ICQ, почту.

Угу... я знаю... Только троя наверное сначала всётаки вычистить из системы...

[Shadow[13]]

А как лечиться-то?

[MOCT]

А как лечиться-то?

а я же писал:

удалить отложенным удалением в AVZ

[Shadow[13]]

Да не... Я про троян...
А про отложенное удаление, о чём ты писал, так та дллка походу вообще от предыдущей ОС осталась... и давно дохлая... и как я уже писал я сделал, как ты сказал...

[MOCT]

Да не... Я про троян...
А про отложенное удаление, о чём ты писал, так та дллка походу вообще от предыдущей ОС осталась... и давно дохлая... и как я уже писал я сделал, как ты сказал...

все файлы с троянами (если они еще остались в системе) - удалить отложенным удалением. после этого сделать новые логи и прикрепить к теме - будем искать, все ли удалилось

[Shadow[13]]

ну всё, что я находил я удалил, только копии оставил на всякий случай...
а логи ща сделаю... только сначала AVG просканюсь... а потом заодно наверное ещё каспером...
а аську у меня трой всётаки стырил... и разсылать себя пытался... сейчас вот думаю как аську вернуть =\ т.к. я там в ответах на вопросы на случай утери пароля опечатался когда писал ответы... да и было это года 3 назад... мыло которое было у мя в деталях(давно) сервис по восстановлению паролей что-то не принимает =(... упс... что-то я уже совсем оффтопить начал, сорри...
пошел проверяться... как проверюсь сделаю новые логи и запостю тут...

[Shadow[13]]

Новые логи:

[Alexey P.]

Поищите и пришлите файл PDBoot.exe.
(строка PDBoot.exeautocheck autochk *
в разделе Автозапуск лога AVZ)
он упомянут в реестре тут:
HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager, BootExecute

ЗЫ: Нативный, что ли ?

[Shadow[13]]

Поищите и пришлите файл PDBoot.exe.
(строка PDBoot.exeautocheck autochk *
в разделе Автозапуск лога AVZ)
он упомянут в реестре тут:
HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager, BootExecute

Да это кусок PerfectDisk'a(дефрагментатор такой... весьма неплохой кстати)...
Прислал:
Файл сохранён как 061121_162055_PDBoot_45636db766d84.rar
Размер файла 41677
MD5 a2ccce32ebfaf7f2fa3e7db3c7cf8367

ЗЫ: Нативный, что ли ?

Я несовсем понял вопрос( если он вообще адресован мне )...

[Shadow[13]]

Простите вы про меня ещё не забыли?

[MOCT]

не забыли. но в присланном файле нет ничего необычного, поэтому больше сказать нам нечего. какие-то симптомы еще остались? если нет, то миссия выполнена.

[Shadow[13]]

Ну незнаю как симптомы, но система ведёт себя не так как до трояна, она переодически подтормаживает(в прочем это было и до троя, она переодически подтормаживала(подвисала) на несколько секунд без видимых причин, но текст вводимый во время этих подтормаживания потом сразу весь целиком появлялся, а сейчас он появляется посимвольно, как от быстрого набора) ну ещё добавились всякие мелкие странности, задержки в некоторых местах, один раз слетала сетевуха(т.е. сама по себе она не слетала, а была в устройствах, но подключение по локальной сети, говорило, что сетевая карта не обнаруженна, или что-то в этом духе(прежде я таких глюков у себя ни разу не видел, да и вообще с сетевухой проблем небыло никаких последние 2 года что я под 2к3 сижу...))...
В общем из симтомов(если это можно считать симптомом) только то, что система ведёт себя несколько странно и и необычно...
Насчёт задержки с выводом на экран вводимого текста, могу предположить что это могут быть последствия работы кейлоггера(правда я не имею ни малейшего представления о том как работают кейлоггеры)...

P.S. Да и в любом случае спасибо всем =)...
P.P.S. Я попытаюсь найти какого-нить программера среди знакомых или знакомых знакомых который с дебаггером умеет работать номано, который согласится поковырять тех троянов. И ещё собираюсь под виртуальной машиной это запустить с фаерволлом каким-нить, сниффером, регмоном ну и чем-нить ещё что наблюдает за приложениями, если найду... Если чего-то выясню могу на этот форум информацию кинуть, если никто не против...