Подозреваю, что подцепил троянчик

Привет,

От дурга по аське пришло сообщение:
[QUOTE]Привет, смотри!!! :)
[COLOR="Red"][URL][/COLOR]
( [COLOR="Red"][URL][/COLOR] )
Классная вещь! :-)[/QUOTE]
По указанной ссылке архив с файлом TheBestMarch.src

При попытке скачать его НОД(модуль контроля трафика) ругнулся на "вероятно модифицированный Win32/Statik"
Скачал его на виртуалку с чистой WinXP (любопытный очень), посмотрел на него регмоном и снифером, вообщем что-то и куда-то он шлет, и при этом в реестре ищет инфу про IM-клиенты, почтовики и т.п.

Обрадовал друга - и тут он мне выдал, что от меня тоже такое сообщение приходило.

Вот теперь уж мне стало не просто любопытно, что же это за зверек такой, как от него избавится и какие пароли мне прийдется менять.

Спасибо.

p.s. извините, что без логов, до домашнего компа доберусь только завтра, если без них никак, то не наказывайте меня, завтра выложу.

Нужны логи, без них нельзя разобраться.

"Завтра" наступило быстрей чем расчитывал :)

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

В логах ничего особо подозрительного не видно, но можно кое-что проверить, поэтому [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe','');
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe','');
QuarantineFile('C:\WINDOWS\Installer\47a022.msi','');
QuarantineFile('C:\WINDOWS\system32\shell32.dll','');
QuarantineFile('C:\WINDOWS\86EB~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.dll','');
QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
QuarantineFile('C:\WINDOWS\system32\kernel32.dll','');
QuarantineFile('C:\WINDOWS\Explorer.EXE','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
BC_ImportQuarantineList;
BC_Activate;
DelBHO('{16664845-0E00-11D2-8059-000000000000}');
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=20688[/url] ).

Вот это Вам знакомо?
c:\program files\speedfan\speedfan.exe
Unlocker
C:\Program Files\uTorrent\uTorrent.exe
D:\Install\Tools&Utils\Ускоритель Графики 3D Игр\G3dAccel.exe
E:\temp\blinder\muBlinder.exe
Если что-то незнакомо, то тоже пришлите по указанной выше ссылке в zip-архиве с паролем virus.

P.S. MSIE: Internet Explorer v8.00 (8.00.6001.17184) - это интересно ;)

Карантин залил.

[QUOTE]Вот это Вам знакомо?
c:\program files\speedfan\speedfan.exe
Unlocker
C:\Program Files\uTorrent\uTorrent.exe
D:\Install\Tools&Utils\Ускоритель Графики 3D Игр\G3dAccel.exe
E:\temp\blinder\muBlinder.exe[/QUOTE]
[B]Speedfan.exe[/B] - утилита для мониторинга температуры, управления кулерами, вольтажем и т.п. офф.сайт: [url]http://almico.com/speedfan.php[/url]
[B]Unlocker[/B] - Позволяет посмотреть каким процессом заблокирован файл\директория и при желании разблокировать. офф.сайт: [url]http://ccollomb.free.fr/unlocker/[/url]
[B]uTorrent.exe[/B] - BitTorrent-клиент. офф.сайт: [url]http://utorrent.com/[/url]
[B]G3dAccel.exe[/B] - из описания: "Программа подменяет самые часто используемые функции DirectX собственными, написаными на ассемблере, что значительно ускоряет их исполнение". Буду благодарен елси скажете стоит ли использовать, так как я пока особого толку не заметил (нашел недвано, а в игры не играю особо). Залил туда же куда и карантин, тоже с паролем virus.
[B]muBlinder.exe[/B] - офф.сайт: [url]http://www.p2plife.com/forums/Official_muBlinder_Page-t320.html[/url]

[QUOTE]P.S. MSIE: Internet Explorer v8.00 (8.00.6001.17184) - это интересно[/QUOTE]Сырой до невозможности, если бы пользовался ИЕ, то не ставил бы его, а так просто из любопытства установил :)

Спасибо.

TheBestMarch.scr_ - Trojan-PSW.Win32.LdPinch.sfb - этот у вас на этом компьютере (с которого логи) был активный или Вы просто скачали по ссылке из аськи (на этом компьютере не запускали) и закачали его нам? Он вор паролей - меняйте все пароли.

[QUOTE=kps;209186]TheBestMarch.scr_ - Trojan-PSW.Win32.LdPinch.sfb - этот у вас на этом компьютере (с которого логи) был активный или Вы просто скачали по ссылке из аськи (на этом компьютере не запускали) и закачали его нам? Он вор паролей - меняйте все пароли.[/QUOTE]

Извините, не совсем понял...

TheBestMarch.scr сознательно скачивал и запускал только на вирутальной машине (MS VirtualPC).

Я так понял компьютер им всетаки заражен(все логи только с одного компа). Если так, то как от него избавится, невижу смысла менять пароли пока он у меня сидит. Или уже все чисто?

Вам я закачивал только карантин и программку G3dAccel.exe

Спасибо.

Этот пинч самоликвидируется.

[QUOTE=Гриша;209203]Этот пинч самоликвидируется.[/QUOTE]

Итог?
Все пароли менять.
Ничего не лечить.
Так?

примерно ....

Мда, я ожидал более конкретного ответа. :)

Ну ладно, пойду менять пароли, всем спасибо за помощь.
Замечательный сервис. Жаль, что в тех.саппорте моего провайдера не такие люди работают ;)

Спасибо.

Файлы, которые Вы тогда загрузили, видимо чистые (отсылались в Лабораторию Касперского. Детекта нет.) На всякий случай можете выполнить еще пункт 2 правил (проверка CureIt! - если еще не выполняли).

К сожалению, не представляю себе как загрузить компьтер в безопасном режиме по РДП. Но как только доберусь до компа физически - обязательно сделаю.

Ну что ж если больше рекомендаций нет - то тему можно закрывать, или как тут поступают с подобными темами в кторых вопрос решен. :)

Еще раз всем спасибо.

Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\thebestmarch.scr - [B]Trojan-PSW.Win32.LdPinch.sfb[/B] (DrWEB: Trojan.PWS.LDPinch.1941)[/LIST][/LIST]