Показано с 1 по 15 из 15.

Хитро спрятанный торян (заявка № 10884)

  1. #1
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39

    Exclamation Хитро спрятанный торян

    Выглядит все так:
    -Появились неразмеченные области у обоих хардов по 8 метров (небыло раньше 100%) винда говорит что они зарезервированны под системные файлы
    -Ad-Aware регулярно стал находить всякие Cookies и DataMiners но троянов не видел
    -Стало запускаться куча служб, которые, в свою очередь, стали запускать нездоровое кол-во svchosts

    Загрузился с Avast BART CD:
    -В pagefile.sys(..2gb???) в корне С и в System Volume Information был обнаружен Win32:Banker-BFS[trj], который регулярно возвращается на место даже после форматированния винта. Был и другой троян что-то вроде U.Save.Now, но он поле лечения сгинул
    -Даже при загрузке с авастовского диска не удаляется .ocx файл из папки предыдущей винды на D диске - нет доступа...

    Провел эксперимент: форматнул диск и поставил ульта-урезанную версию XP(360 метров в установленном виде), но данные реестра, службы и бибиотеки переехали в полном составе из прошлой винды...

    Я в серьезном замешательстве, HELP PLZ!

    P.S. Я уже обращался с подобной проблемой, но в прошлый раз она исчезла еще до начала лечения, как токавого...
    Вложения Вложения
    Последний раз редактировалось KillJoy; 08.07.2007 в 16:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\XP\system32\DRIVERS\WMILIB.SYS','');
     QuarantineFile('C:\XP\system32\DRIVERS\PCIIDEX.SYS','');
     QuarantineFile('C:\XP\system32\ntkrnlpa.exe','');
     QuarantineFile('C:\XP\system32\ntdll.dll','');
     QuarantineFile('C:\XP\system32\KDCOM.DLL','');
     QuarantineFile('C:\XP\system32\hal.dll','');
     QuarantineFile('C:\XP\system32\DRIVERS\CLASSPNP.SYS','');
     QuarantineFile('C:\XP\system32\BOOTVID.dll','');
     QuarantineFile('C:\XP\system32\DRIVERS\1394BUS.SYS','');
     QuarantineFile('C:\XP\system32\wininet.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    Пришлите файлы карантина по правилам раздела "Помогите".

    Добавлено через 1 минуту
    Цитата Сообщение от KillJoy Посмотреть сообщение
    Провел эксперимент: форматнул диск и поставил ульта-урезанную версию XP(360 метров в установленном виде), но данные реестра, службы и бибиотеки переехали в полном составе из прошлой винды...
    Не надо было проводить экспериментов, а сразу сделать логи. Было бы меньше проблем у Вас и у нас.
    Последний раз редактировалось Макcим; 08.07.2007 в 16:33. Причина: Добавлено сообщение

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логах ничего подозрительного нет.

    -Появились неразмеченные области у обоих хардов по 8 метров
    Всегда создаются, если разбивка делается установщиком ХР.

    Ad-Aware регулярно стал находить всякие Cookies и DataMiners
    Адаваре вечно находит всякую чепуху. Не берите в голову.

    Стало запускаться куча служб, которые, в свою очередь, стали запускать нездоровое кол-во svchosts
    Поищите в ЧаВо, была заметка об отключении ненужных служб.
    Появятся вопросы - задавайте.

    Провел эксперимент: форматнул диск и поставил ульта-урезанную версию XP(360 метров в установленном виде), но данные реестра, службы и бибиотеки переехали в полном составе из прошлой винды...
    Зачем морочить себе голову? Раз уж форматнули - поставьте нормальную XP SP2, обновления, антивирус - и работайте на здоровье, все будет ОК.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Не надо было проводить экспериментов, а сразу сделать логи. Было бы меньше проблем у Вас и у нас.
    Сглупил.. Надеялся справиться сам

    Цитата Сообщение от Bratez Посмотреть сообщение
    Всегда создаются, если разбивка делается установщиком ХР.
    Это не разбивка, у меня два HDD.. и я уверен, что эти области появились вместе с началом всех остальных заморочек

    Цитата Сообщение от Bratez Посмотреть сообщение
    Зачем морочить себе голову? Раз уж форматнули - поставьте нормальную XP SP2, обновления, антивирус - и работайте на здоровье, все будет ОК.
    Все проблемы проявляются снова уже при первой загрузке ОС - даже файрвол не успеваю поставить

  6. #5
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39
    Снял логи в момент, когда начался треш: комп тормозит, винты трещат невпопад, скорость в сети упала до минимума...

    После перезагузки Avast нашел в pagefile.sys новую дрянь: Win32: Zhelatin-MC[Wrm] до этого всегда там оказывался Win32:Banker
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Присланные файлы чистые.

  8. #7
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39
    ((((((((( Что делать??? Мои торяны видно только когда я гружусь с авастовского диска. Но первопричину аваст не лечит - после 15 мин работы вся зараза снова на месте...
    а комп переодически просто ступрится...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Если бы Вы не проводили эксперимент, мне кажется шансов поймать трояна было бы больше...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от KillJoy Посмотреть сообщение
    Появились неразмеченные области у обоих хардов по 8 метров (небыло раньше 100%) винда говорит что они зарезервированны под системные файлы
    Цитата Сообщение от Bratez Посмотреть сообщение
    Всегда создаются, если разбивка делается установщиком ХР.
    Если я правильно понимаю, то это оглавление расширенного раздела. Появляется и исчезает вместе с ним.

    Цитата Сообщение от KillJoy Посмотреть сообщение
    комп тормозит, винты трещат невпопад
    NOD подрался со SpywareTerminator?

    Цитата Сообщение от KillJoy Посмотреть сообщение
    После перезагузки Avast нашел в pagefile.sys новую дрянь: Win32: Zhelatin-MC[Wrm] до этого всегда там оказывался Win32:Banker
    IMHO, там есть шанс обнаружить всё, что угодно.

  11. #10
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39
    Цитата Сообщение от pig Посмотреть сообщение
    Если я правильно понимаю, то это оглавление расширенного раздела. Появляется и исчезает вместе с ним.
    у меня физически два винта и я часто переставляю систему - ну небыло раньше их, точно помню!
    Цитата Сообщение от pig Посмотреть сообщение
    NOD подрался со SpywareTerminator?
    неладное началось когда стояли только Ad-Aware и Nod32
    Цитата Сообщение от pig Посмотреть сообщение
    IMHO, там есть шанс обнаружить всё, что угодно.
    тоесть нормально что при физически отрубленной сети при лечении с загрузочного диска троян появляется вновь после следующей перезагрузки?

    скорость в сети становится 50% от нормальной уже через 5 мин работы
    Скачал новую версиы- нод он нашел Win32/Tool.TPE.A но ничего с ним сделать не смог

    Вопрос: в папке Documents and Settings должны быть LocalService и NetworkService?
    Последний раз редактировалось KillJoy; 09.07.2007 в 20:12.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от KillJoy Посмотреть сообщение
    тоесть нормально что при физически отрубленной сети при лечении с загрузочного диска троян появляется вновь после следующей перезагрузки?
    Не факт, что в свопе именно троян, а не образец из баз Spyware Terminator или просто похожая комбинация данных.

    Цитата Сообщение от KillJoy Посмотреть сообщение
    Скачал новую версиы- нод он нашел Win32/Tool.TPE.A но ничего с ним сделать не смог
    Всё там же?

    Цитата Сообщение от KillJoy Посмотреть сообщение
    Вопрос: в папке Documents and Settings должны быть LocalService и NetworkService?
    Да.

  13. #12
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39
    Цитата Сообщение от pig Посмотреть сообщение
    Цитата:



    Сообщение от KillJoy


    Скачал новую версиы- нод он нашел Win32/Tool.TPE.A но ничего с ним сделать не смог


    Всё там же?
    нет, не там

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А где?

  15. #14
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    11
    Вес репутации
    39
    В System Volume Information хотя восстановление системы я отрубил

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) KillJoy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Торян IRCBot.se
      От Alex_3D в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:43
    2. Хитро спрятан Win32.Sector.12 (Sality.*)
      От Shalimov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.09.2008, 13:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00704 seconds with 17 queries