Показано с 1 по 13 из 13.

Подозрения на трояны (заявка № 13985)

  1. #1
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    10
    Вес репутации
    60

    Thumbs up Подозрения на трояны

    Здравствуйте!

    Последние дни наблюдается какая-то ерунда и заторможенность компьютера. Время от времени появляется откуда-то в процессах EXPLORER.exe.

    Он-лайн сканирование касперского показало присутствие следующих зверей:

    Trojan.Win32.Dialer.wl
    Trojan.Win32.Inject.ib
    Trojan-PSW.Win32.LdPinch.ckg
    not-a-virus:AdWare.Win32.BHO.ic

    Я решил не рисковать и провериться в вашем профессиональном сервисе. Файлы прилагаются. Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Пинч - придется менять пароли...

    Добавлено через 2 минуты

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\PartyGaming\PartyPoker\RunApp.exe','');
     QuarantineFile('C:\Poker\Titan Poker\casino.exe','');
     QuarantineFile('C:\WINDOWS\winlogon32.exe','');
     QuarantineFile('C:\WINDOWS\servc32.dll','');
     QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
     QuarantineFile('C:\WINDOWS\syss_.exe','');
     DeleteFile('C:\WINDOWS\syss_.exe');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
     DeleteFile('C:\WINDOWS\servc32.dll');
     DeleteFile('C:\WINDOWS\winlogon32.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Пофиксьте
    Код:
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
    O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\winlogon32.exe
    Пришлите карантин по п.3 Правил и повторите логи
    Последний раз редактировалось rubin; 08.11.2007 в 21:16. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    10
    Вес репутации
    60
    Скрипт выполнил. Пофиксил первую строчку.
    А этой строчки у меня нет: O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\winlogon32.exe

    Попытался отправить карантин, но при нажатии на кнопку "обзор" для выбора пути к файлу ничего не происходит. Причем на обоих страницах - на моей и на запасной.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Нет строки - это хорошо... попробуйте прислать карантин через другой браузер

  6. #5
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    10
    Вес репутации
    60
    Отослал карантин. Просто первый раз видимо что-то глюкануло. Кстати, я видел в логах, что сканер подозревает клиенты PartyPoker, Titan и Expekt. Все это покерные клиенты, в этих программах изначально предусмотрены шпионы, чтобы следить за действиями игрока во время игры. Поэтому с ними ничего делать не надо.

    Повторные логи пришлю уже завтра, сегодня поздновато.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Trojan-Downloader.Win32.Centim.ao C:\Program Files\Time Sync\time.exe
    Trojan.Win32.Inject.ib C:\WINDOWS\servc32.dll
    Trojan.Win32.Inject.ib C:\WINDOWS\syss_.exe
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Time Sync\time.exe','');
     DeleteFile('C:\Program Files\Time Sync\time.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Затем повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    10
    Вес репутации
    60
    Повторные логи
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Пофиксьте:
    Код:
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    Остались ли проблемы?

    Что из этого Вам не нужно?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  10. #9
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    10
    Вес репутации
    60
    Вроде бы проблем нет. Все нормально.

    Из всего перечисленного мне нужно только это: >> Безопасность: разрешен автозапуск программ с CDROM

    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - это разве проблема, что админ имеет доступ. Или я что-то не понял.

    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) - мой Outlook Express при старте запускает клиент NetMeeting, видимо без него не работает. Если удаление этой службы не повредит запуску почтовика, то она тоже не нужна.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    Это административный доступ не с локального компьютера, а из локальной сети к вашему компьютеру

    Добавлено через 2 минуты

    Как я помню, это не отключение Net Meeting, а запрет доступа к рабочему столу через эту службу... В-общем скрипт отключения всего, кроме автозапуска с CDROM:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    RebootWindows(true);
    end.
    Последний раз редактировалось rubin; 09.11.2007 в 20:33. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    08.11.2007
    Сообщений
    10
    Вес репутации
    60
    Выполнил. Спасибо! Проблем не наблюдается. Чувствую себя защищенным как никогда

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
      2. c:\\program files\\time sync\\time.exe - Trojan-Downloader.Win32.Centim.ao (DrWEB: Trojan.DownLoader.4491)
      3. c:\\windows\\servc32.dll - Trojan.Win32.Inject.ib (DrWEB: Trojan.Inject.494)
      4. c:\\windows\\syss_.exe - HEUR:Trojan.Win32.Generic (DrWEB: Trojan.Inject.494)


  • Уважаемый(ая) Paradox, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы с интернетом. Подозрения на трояны.
      От КапитанБолт в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 15.09.2010, 11:12
    2. Украли вебмани есть подозрения на трояны
      От spitefulbeaver@gmail в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.02.2010, 22:28
    3. Подозрения на трояны
      От EgorKalinin в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.01.2009, 23:34
    4. Есть подозрения на трояны и вирусы
      От Night в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.11.2008, 09:19
    5. Ответов: 11
      Последнее сообщение: 06.08.2008, 04:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00730 seconds with 18 queries