Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Привет всем. В AVZ нашлись только C:\Program Files\NoAdware4\noadwareutils.dll и C:\Recycled\1.exe, их я выслала на https://virusinfo.info/upload_virus.php
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp просто исчез, искала и через AvZ, и через простой поисковик.
Кстати, насчет Касперского, то сколько не слушаю -мнения противоречивые, одни говорят, что он хорош, другие- что он первый и вылетает. Не поймешь, кто прав. Но понятно одно - идеалов не бывает -что один антивирь фиксит, то упешно другой пропустит, если алгоритм не ловит.
Еще вот что хотела спросить, хоть это и оффтоп, но есть вопрос. У меня Outpost постоянно в последние дни зачастил с сообщениями о сканировании портов, причем аж по 6-9 раз в день. Теоретически что возможно сделать с компом после сканирования? Я пока особых ситуаций не замечала, хотя вирусов достаточно, с чем к Вам и обратилась за помощью. Можно ли как-то по IP определить, откуда попытки идут? Заранее спасибо.
продолжаем борьбу с заразой.Сообщение от memorex
если есть такие файлы, то тоже нужно прислать:
c:\Program Files\pl.exe
c:\x.htm
xwxload.exe
msldf.exe
dexKZ331.exe
файлы
C:\Recycled\1.exe
можно смело удалить - там троян Trojan-Dowbloader.Win32.Small.fo
Все сделала как сказано, в Hijack профиксила, riskware подключила, сканировала, он выдал : C:\WINDOWS\system32\H@tKeysH@@k.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll успешно удален и C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP370\A0086876.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll успешно удален. Решила еще раз, как в начале сделать новые зипники и отправить, включила сканирование системы через virusinfo_cure, так он мне сообщил, что "C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP378\A0093329.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll удаление запрещено настройкой"
Это что, клон еще что ли?
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp искала еще раз и просто через поисковик, и через AVZ -ноль результатов. Я вчера никаких чисток не делала, он убрался часов через восемь - я на форум зипники с AVZ отправляла, потом выключила комп, часов через восемь включила, прочитала советы, стала искать файл -ни слуху, ни духу.
Высылаю еще новые логи AVZ и Hijack
c:\Program Files\pl.exe
c:\x.htm
xwxload.exe
msldf.exe
dexKZ331.exe
я не нашла, нету их, в новых логах, которые высыла. c:\Recycled\1.exe будет- не успела удалить, сейчас удалю. Но там еще что-то с Riskware есть.
еще вопрос -как мне к C:\Recycled\1.exe подобраться? в Explorer не светится этот каталог, просто в C:\- тоже, какой путь?
через AVZ подбирайтесь - ему без разницы есть атрибуты "скрытый системный" на папке или нет. попробуйте опцию "Файл\Отложенное удаление файла"
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
опять в логе засветился.
искали через AVZ?
p.s. все файлы нужно искать со включенной опцией противодействия руткитам!
C:\Recycled\1.exe удалила, спасибо!
mc21.tmp искала раза три через AVZ -ноль, противодействие руктитам включено, вот что написано было
Поиск файлов по маске mc21.tmp
Поиск файлов завершен
Просмотрено 24254, найдено 0
зато включила поиск в реестре, то засветилось Модуль для поиска данных в реестре,
Запущен поиск ключей, содержащих образец "mc21.tmp"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m chInjDrv\ImagePath = \??\C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m chInjDrv\ImagePath = \??\C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\mchInjDrv\ImagePath = \??\C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = mc21.tmp-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск завершен --
Просмотрено ключей: 160038
остальные файлы он так же не нашел. Прочистила при помощи AVZ Riskware и удалила A0093597.exe >>> подозрение на TrojanDownloader.Win32.Small.fo и A0093329.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll.
Высылаю еще раз новые на сей день логи, там этот mc21.tmp опять торчит.
Значит так... Этот файл, C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp, больше искать не надо, вы его все равно простыми способами не найдете! Это (скорее всего, но не на 100%!!!) известный файл, драйвер программы TrojanHunter, а, точнее, ее компоненты по имени TrojanHunter Guard. Еще вчера утром на это косвенно указал HATTIFNATTOR:
Как показало дополнительное исследование, этот файл существует на диске в течение всего лишь десятка миллисекунд, необходимых для того, чтобы подгрузить драйвер TrojanHunter Guard, после этого он сразу же уничтожается. Как это происходит, можно в деталях посмотреть на картинках: Filemon, создание и уничтожение файла mc22.tmp и Regmon, создание ключа драйвера TrojanHunter Guard в реестре. Пусть вас не смущает несоответствие имени файла (mc22.tmp) - оно может меняться.
Весь этот процесс происходит в соответствии со сценарием, который я описал в этой ветке несколькими сообщениями выше (сообщение от 09.03.2006 21:12)...
Добавлю также, что предложение, которое выдвинул MOCT, а именно:
в текущий момент не имеет большого смысла, т.к. AVZ, даже имея этот файл, mc21.tmp, в своей коллекции "чистых", все равно будет считать и отображать его "грязным" - как в 'Исследовании системы', так и при отображении 'Модулей пространства ядра'. Это связано с некоторой спецификой использования базы "чистых" объектов в AVZ. Подробности этого (а также некоторые сценарии атак на AVZ, с этим связанные) я изложу немного позднее сегодня в ветке, посвященной обсуждению AVZ, а именно: AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке.однозначно.
а по поводу безопасности - пусть даже и безопасная, так все равно не помешает в базу чистых добавить, чтобы больше такие записи нас не смущали
Последний раз редактировалось aintrust; 11.03.2006 в 16:51.
хорошо, а что мне дальше делать? В Инете нашла следующее описание
File: MC21.TMP
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)
MD5 91380cadf1e18274ea2243a74ebe9a7e
Packers detected: -
Scanner results
AntiVir Found SPR/Madtol.C
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:Tool.Win32.Madtol.c
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing
Вообще как с этой заразой бороться-то? как удалить? нкжели вообще способов нету?
Вообще-то, этот драйвер (в теории) - это даже как-бы и не обязательно зараза, это т.н. tool - именно поэтому не все a/v программы на него "реагируют".Но по одному лишь названию, конечно, нельзя судить, что это за "фрукт".
Пути борьбы, тем не менее, два:
1) если у вас в текущий момент установлен TrojanHunter, то загрузите TrojanHunter Guard (при этом его значок появится в системном трее), щелкните на нем правой кнопкой мыши, выберите пункт меню 'Settings...', в появившемся диалоге выключите все флажки и нажмите 'OK'. После этого выгрузите сам TrojanHunter Guard (щелкнув снова правой кнопкой мыши на его значке в трее и выбрав пункт меню 'Unload'). Затем перегрузите компьютер и "вымойте руки"
Еще проще - деинсталлируйте TrojanHunter, если он вам не нужен!
2) если же у вас не установлен TrojanHunter (что уже очень похоже, т.к. THGuard должен был, по идее, "проявиться" в процессах!), то тут тоже два варианта (более трудный случай, скажем так):
2.1) какая-то "хорошая" программа использует идентичную с TrojanHunter технологию загрузки драйвера (и даже в реестре имена веток совпадают);
2.2) какой-то троян использует эту технологию, чтобы "отвлечь внимание", "запудрить мозги" и т.д.
В общем, информируйте... И пришлите, пожалуйста, еще раз логи (и HijackThis тоже!).
[edit]
PS. На всякий случай перед тем, как предпринимать дальнейшие действия, обновите а-вирусную базу вашего Symantec AV через LiveUpdate и сделайте скан всех дисков!
Последний раз редактировалось aintrust; 11.03.2006 в 17:18.
Спасибо большое за советы, сделала, как было рекомендовано.
Значит так: На вирусы я просканировала с последней базой –абсолютно ничего Symantec не нашел.
Логии я новенькие высылаю, вроде ничего, особенного не поймал AVZ, кроме "вечного" mc21.tmp.
TrojanHunter я не устанавливала и в трее его, разумеется, нет. Это и чувствовалось сразу, что-то неладное. Я в Инете немного поискала, что же это еще могло быть, так вот в www.viruslist.com этот файл идентифицируется как : not-a-virus:Tool.Win32.Madtol.c (Kaspersky Lab) is also known as: not-a-virus:RiskWare.Tool.Madtol.c (Kaspersky Lab).
Может это какой-то Riskware подгрузился, хотя его AVZ не находит?
memorex, для начала я бы посоветовал вам деинсталлировать программу NoAdware - отзывы об этой программе, существующей на сегодняшний день в целом сонме ипостасей (об этом м.б. напишу позднее
Также вполне вероятно, что источником этого неуловимого файла, mc21.tmp, является именно она. Я скачал ее только что, через 15 минут проверю, так ли это, и чуть позднее напишу...
Ага, щас удалю, она мне, кстати, самой надоела -жрет много оперативки и у меня почему-то по 10 атак на комп появляются. Тоже напишу, как дела обстоят. А какую прогу использовать как защиту от адварей?
Да, действительно, в появлении на вашем компьютере файла-фантома mc21.tmp виновата программа NoAdware. Для того, чтобы этот файл больше не появлялся, или щелкните пункт popup-меню 'Disable Real-Time Protection' этой программы в трее, или же просто удалите ее с вашего компьютера.
Как я уже сказал ранее, данная программа существует во многих ипостасях и под разными названиями (Adware Hitman, Consumer Identity, Protect Your Identity, SpyBan, SpywareAssassin, Spyware C.O.P., SpywareKilla, The Adware Hunter, TheSpywareKiller, а теперь еще и TrojanHunter). Все эти программы, имея разный интерфейс, пользуются одной и той же базой "зверья", а также, похоже, используют одинаковый движок (по крайней мере, эта история с вашим неуловимым файлом - точно такая же, как и на примере с TrojanHunter), который написал программер-наемник Bilal Ahmed. В общем, все эти программы в своей основе - просто близнецы-братья!
PS. Что касается хорошей программы для защиты от adware, то я бы посоветовал вам задать этот вопрос в соответствующем разделе форума: Spyware, Adware, Hijackers. Что до меня лично, то я ничего не могу вам на это сказать, ибо просто не использую их и, соответственно, не знаю достоинств/недостатков.
PPS. К сожалению, сегодня уже не успеваю сделать то, что пообещал в своем сегодняшнем сообщении #29...Придется перенести обещание на завтра.
Последний раз редактировалось aintrust; 11.03.2006 в 23:45.
Спасибо большое. Сейчас удалила прогу, комп стал работать быстрее. завтра просканирую опять комп и сообщу результаты- сегодня не успею :-)
Огромное Вам спасибо! Я проверила с AVZ mc21 пропал, высылаю еще лог. Так что все нормально. Еще раз спасибо, очень благодарна за помощь.
Пришел ответ от VMS DrWeb (если кому ещё интересно...):
C:\Program Files\NoAdware4\noadwareutils.dll
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.NtRootkit.103
В смысле? То есть установила прогу для "защиты", и приехал вирус? Я от адварей сейчас Lavasoft Ad-aware опставила, надеюсь, что это не то же самое....
М-да, круто. Неслабый антишпион с руткитом.
Уважаемый(ая) memorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
