-
Junior Member
- Вес репутации
- 50
Друг протроянил
Здравствуйте, уважаемые гуру исследования вирусов. Так случилось что мой лучший друг воспользовавшись моим доверием подкинул мне троя в одной из присланных им прог. Когда это было и какая именно прога мне не известно(хотя и не так много прог я получал от него, просто было давно), но в том что трой был впарен мне именно таким способом - он сознался.
Суть троя в том что он периодически отсылает моему другу скрины экрана. Выяснил я это строго благодаря постоянным разговорам с его стороны на темы, которыми до этого сам занимался и вконце концов, взяв его на понт, расколол. В том что это были именно скрины он тоже сознался.
Чем только не сканил и реестр, и процессы, ничего подозрительного на мой взгляд не нашел! Следовательно имеем дело с более продвинутым троем, который возможно внедряет свои библиотеки в известные процессы. Хотя ладно, не буду выкладывать здесь свои дурацкие мысли по этому поводу Проделал всё по вашему мануалу, CureIt ничего не нашел. Прошу вашей помощи в детектировании троя.
PS: буду рад если кого-то повеселил своей историей
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteService('System Scheduler');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Карантин выслал, логи переделал
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
а в C:\WINDOWS\Offline Web Pages\svchost.exe был трой?
-
Junior Member
- Вес репутации
- 50
Удалось узнать новые подробности у друга. Говорит, что это не простой трой, а ядерный:
[02.11.2009 19:44:56] Ex***er: госу-трои сидят в ядре
Более подробно к сожалению выяснить не удалось, молчит... Что ж придется наверное систему сносить...
-
Сказать можно все, что угодно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Ну а есть ли какой-либо способ проверить ядро?
-
Нет у Вас ничего в ядре. Друг просто издевается над Вами.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-