Показано с 1 по 4 из 4.

Не поймать трояна (заявка № 11094)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    2
    Вес репутации
    39

    Exclamation Не поймать трояна

    Подцепил какого-то трояна - не могу побороть. Логи прикрепил, а на словах ситуация такая: заметил паразитный трафик, стал следить утилитой Active Ports (показывает кто на каком порту сидит) - заметил что одна моя утилита (мною же и написанная) выходит изредка в инет (чего делать не должна) и подключается на 25 порт (smtp). Т.е. видимо у меня сидит троян, который рассылает спам. Сам екзешник программы не тронут, посмотрел какие длл-ки к ней подключены, оказалось что несколько "лишних":
    5 71A30000 262144 C:\WINDOWS\system32\mswsock.dll
    1 698B0000 360448 C:\WINDOWS\system32\hnetcfg.dll
    1 71A70000 32768 C:\WINDOWS\System32\wshtcpip.dll
    2 76F10000 159744 C:\WINDOWS\system32\DNSAPI.dll
    1 76FA0000 32768 C:\WINDOWS\System32\winrnr.dll
    1 76F50000 184320 C:\WINDOWS\system32\WLDAP32.dll
    1 76FB0000 24576 C:\WINDOWS\system32\rasadhlp.dll
    Подгружаются они после запуска моей утилиты (она в автозагрузке) через минут 5. Подозрительных программ в автозагрузке не нашел. Поискал по реестру и в ini файлах в C:\WINDOWS\ строчки где упоминался бы екзешник моей утилиты - ничего подозрительного не нашел. Так что непонятно - кто внедряет эти левые длл-ки ко мне. Также непонятно как ей удается выходить в инет - исключения в файрволе (родной от XP) для нее нет.

    Помогите плз. Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('E:\WORK\WebLgns\ParaLgn.exe','');
     QuarantineFile('E:\WORK\SndClav\app\SndClav.exe','');
     QuarantineFile('C:\WINDOWS\system32\msfeedssync.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать все файлы карантина согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11094

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     
    O2 - BHO: IexploreOmea - {09628AAA-66AD-4FA2-82E2-698185B66463} - (no file)
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\setup.exe
    Так же удалите все ненужные письма из "The Bat",там у вас в вложениях море вирусов.
    файл хост сами правили?если нет то выполните скрипт
    Код:
    begin
     ClearHostsFile;
    end.
    Последний раз редактировалось Макcим; 17.07.2007 в 09:30. Причина: Исправил ошибку в скрипте

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2007
    Сообщений
    2
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    Прислать все файлы карантина
    Спасибо, файлы закачал. ParaLgn.exe - это моя собственная утилита, к которой через 5 минут после старта подгружаются левые длл-ки и она начинает вылазить в инет. SndClav.exe - тоже моя, безобидный клавиатурный перехватчик. Про msfeedssync.exe не в курсе.

    Цитата Сообщение от Muzzle Посмотреть сообщение
    2.Пофиксить в HijackThis следующие строчки
    Пофиксил. Перезагрузился и проверил что строчки пропали.

    Цитата Сообщение от Muzzle Посмотреть сообщение
    Так же удалите все ненужные письма из "The Bat",там у вас в вложениях море вирусов.
    файл хост сами правили?если нет то выполните скрипт
    Корзину чистить пока не хочется, аттачи с вирусами я конечно не запускаю. Файл хост правил сам, там только мои записи.

  5. #4
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\work\\weblgns\\paralgn.exe - Virus.Win32.Grum.a (DrWEB: Win32.Grum)


  • Уважаемый(ая) Gusan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Как поймать снифера?
      От santa13 в разделе Общая сетевая безопасность
      Ответов: 2
      Последнее сообщение: 12.10.2009, 21:45
    2. Помогите поймать червя
      От d0butsu в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.10.2009, 19:37
    3. Xorer.cy как поймать?
      От sT_Tom в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 31.10.2008, 10:59
    4. Не могу поймать вирус
      От t04ka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2008, 15:00
    5. Не поймать вирус, помогите!
      От chief в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 20.09.2006, 13:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01162 seconds with 17 queries