Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Троян, Руткит и шпион одновременно (заявка № 16862)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    Thumbs up Троян, Руткит и шпион одновременно

    Здравствуйте!
    28дек07 Касперский 4.5 (последнее обновление 23окт07 - закончилась лицензия) обнаружил Trojan.Win32.Agent.asu в файле ..\system32\DefLib.sys.
    14янв08 После загрузки стало появляться окошоко: "Работа мастера регистрации невозможна, поскольку необходимые сведения о системе отсутствуют или недоступны."
    16янв08 В Диспетчере задач увидел процессы w32sys5.exe, w32sys7exe, w32sys15.exe, aspnet_state.ex. Остановил их, удалил файлы w32sys...exe
    17янв обнаружил, что "исполняемый файл" службы MDM (не запущенной) С:\WINNT\system32\w32sys7.exe
    Отсортировав по дате, последние файлы проверил на сайте Касперского:
    ~tmp1174.exe (13.11.2007, 3 082 b) Trojan-Downloader.Win32.Small.gqc
    necsort.sys (28.12.2007, 8 192 b) Rootkit.Win32.Agent.sh
    winlogon.exe (28.12.2007, 32 768 b) Trojan-Proxy.Win32.Small.ig
    Kaspersky Online Scanner нашёл:
    Оперативная Память:
    [208] WINLOGON.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
    [868] IEXPLORE.EXE => C:\WINNT\system32\bootrom8.dll Trojan-Spy.Win32.Banker.hef
    Важные объекты:
    C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_ state.exe Trojan-Downloader.Win32.Agent.hhj
    C:\WINNT\system32\pspv.exe not-a-virusSWTool.Win32.PassView.160
    Мой компьютер:
    в Temporary Internet Files\..\..\other-archive.narod[1] Trojan-Downloader.JS.Remora.bp
    C:\sysbvkn.exe Packed.Win32.Tibs.dc

    Я пытался удалять ссылки на инфицированные файлы из реестра, удалял сами файлы, но проблемы оставались.

    21янв, следуя Вашей инструкции, проверил CureItом:
    kdshq.exec:\winnt\system32Модификация Trojan.Packed.156Перемещен.ntos.exec:\winnt\system32Trojan.Proxy.2634Удален.

    Сейчас установил Kaspersky Internet Security 7, и с виду всё спокойно, но я боюсь, что установленные сверху антивирусы заразу могут не узнать, кроме того большую часть предупреждений Касперского я не понимаю - не спец
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Судя по логам, зловредов у вас не осталось, только следы.
    Да еще испорчены системные службы Alerter, MDM и RasMan.

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,c:\winnt\system32\regwiz.exe,
    O2 - BHO: Editor plugin - {5C6D29BE-AFF8-4cb9-B9F9-EA3289051E73} - drive01.dll (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINNT\system32\svshost.dll (file missing)
    Добавлено через 5 минут

    Что касается служб, то первые две вряд ли вам когда-нибудь понадобятся, а вот последняя - это Диспетчер подключений удаленного доступа. Для его восстановления следует экпортировать с такой же, но здоровой системы ключ реестра HKLM\System\CurrenControlSet\Services\RasMan и импортировать в свой реестр.
    Последний раз редактировалось Bratez; 23.01.2008 в 14:33. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    Что дальше?

    Благодарю за хорошее известие. HiJackом профиксил,
    а как импортировать-экспортировать?
    важно, чтобы виндоуз была точно такая же? я боюсь, что не найду такой... везде ХР
    может вручную скажете, что добавить?
    если не восстановить этого диспетчера, что будет?

    и главное: как дальше защищаться?
    чтобы не на каждое открытие браузера предупреждение выскакивало, но и чтобы не просмотреть никого?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Экспортировать из regedit - выделить нужный ключ, Файл - Экспорт... Сохраняется *.reg файл. Для импорта достаточно сделать двойной клик на этом файле и согласиться с предложением добавить в реестр. Вот только не знаю, подойдет ли ключ от ХР. Попробовать-то можно, хуже от этого не станет.
    Если у вас интернет сделан по локалке, то в принципе RasMan вам тоже не нужен, и можно этим не морочиться.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    ещё раз

    спасибо, всё понял.
    Ещё только забыл спросить (раньше такого не было):
    при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?

    И на будущее всё-таки, пожалуйста, дайте совет: Касперский7, avz, AVG, Panda, ...?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?
    Хм... похоже, мы что-то упустили. Сделайте еще раз логи, посмотрим.

    Добавлено через 5 минут

    Касперский7, avz, AVG, Panda, ...?
    AVZ в этом списке лишний, т.к. не выполняет функции постоянной защиты, а предназначен для исследования и лечения зараженной системы. Лично я предпочитаю KAV/KIS, также неплохой вариант DrWeb. Панду не советую.
    Последний раз редактировалось Bratez; 23.01.2008 в 16:17. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60
    После вчерашних манипуляций стало ещё появляться окно установки нового оборудования (неизвестного, никаких драйверов для него нет) - я выбрал "отключить оборудование".

    Логи в приложении.
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Я предложу убрать вот этот мусор:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111157}');
     StopService('MDM');
     DeleteService('MDM');
     StopService('Fax');
     DeleteService('Fax');
     StopService('Alerter');
     DeleteService('Alerter');
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    переадресация остаётся

    мусор убрал, но всё остальное по-прежнему,
    разве что при загрузке не появляется ошибка Мастера регистрации...

    на всякий случай логи...

    прошу, скажите, как дальше жить
    интернет-банком, например, можно пользоваться?
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Мусор не убрался. Выполните такой скрипт:
    Код:
    begin
     BC_DeleteSvc('MDM');
     BC_DeleteSvc('Fax');
     BC_DeleteSvc('Alerter');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, что из этого нужно:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Messenger)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (mnmsrvc)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.

    Пользоваться можно всем, только смените все пароли.
    I am not young enough to know everything...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Alerter - это вы зря на системную службу наезжаете, IMHO. Не нравится - поставьте в отключение.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    @pig:
    O23 - Service: Alerter - Unknown owner - C:\WINNT\system32\w32sys7.exe (file missing)
    "Системное" тут только название осталось...
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    ничего не нужно

    я только не знаю, что такое mnmsrvc, а без остального точно смогу обойтись
    мне вобще не надо ничего удалённого или автоматического.
    мне доступ в интернет лишь бы был, оффлайновые приложения чтобы работали, и чтобы из вне при этом доступа не было...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Если локальной сети, то можно выполнить (оставил автозапуск с CD):
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    сеть есть

    У меня доступ в инет организован через маршрутизатор.
    Некое подобие локальной сети тоже при этом присутствует -
    я вижу расшэреные папки соседней машины...

    И, возвращаясь, к главному:
    при наборе в IE адреса, на котором нет сайта, открывается страница с рекламой "родственных сайтов" или женщин, тут же пытается открыться ещё одно окно... Это может быть проблемой в моём компе?

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Скажите адрес открываемой страницы.
    Это Ваши адреса?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1D7D78AF-347A-4BE8-818F-5849400181EA}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = company.abi.ru
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
    O17 - HKLM\System\CS2\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105
    O17 - HKLM\System\CS3\Services\Tcpip\..\{031D732B-DE4A-4630-ADDD-3BA743279148}: NameServer = 85.255.116.29,85.255.112.105
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.29 85.255.112.105

  18. #17
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60
    http://sedoparking.com/parking.php4?...=www.domdel.ru
    http://unavailablepage.com/?prvtof=8...oPi%2F9A%3D%3D
    http://www.clckm.com/?dn=ybbsu.com&p...xe%2BwxlMd0%3D

    company.abi.ru - это домен, в котором когда-то работала машина в локальной сети - он уже никогда не понадобится,
    а в остальных адресах я не уверен - скажите, как проверить?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от АнтонМГ Посмотреть сообщение
    а в остальных адресах я не уверен - скажите, как проверить?
    Узнайте у провайдера.

    Добавлено через 6 минут

    AVZ => Сервис => Поиск данных в реестре. На странице "Параметры поиска" поставьте все галочки. По очереди ищите следующие слова
    Код:
    sedoparking.com
    domdel.ru
    unavailablepage.com
    prvtof
    clckm.com
    ybbsu.com
    Прикрепите протоколы поиска по каждому результату.
    Последний раз редактировалось Макcим; 28.01.2008 в 13:09. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    DNS были изменены!

    Эти адреса, о которых вы спрашивали, привели меня сюда:
    http://www.domainserror.com/index.php
    Добрые ребята говорят, что гораздо лучше, если вместо ошибки при неправильном наборе адреса будет открываться страница, похожая на ту, которую вы неправильно набрали, - короче просто увеличивают трафик на сайты, которые им надо!
    Причём предлагают специально установить эту "утилиту". Правда иногда, говорят, она и без Вашего ведома оказывается установленной
    Вобщем, они поменяли мне DNS адреса. Теперь, когда я восстановил такой же, как на соседней машине, переадресация исчезла!

  21. #20
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    15
    Вес репутации
    60

    Как отключить всё лишнее, кроме сети?

    1) Посмотрите, пожалуйста, удалился ли на этот раз "мусор".

    2) Я хочу отключить лишние службы, но чтобы не потерять сеть и оставить возможность для работы программ типа RegCleaner, чтобы можно было всякие лишние Автозапуски удалять.
    Последний раз редактировалось АнтонМГ; 12.06.2010 в 14:15.

  • Уважаемый(ая) АнтонМГ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Назойливый троян-шпион
      От fr0st94 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 14.11.2011, 08:40
    2. Возможный троян-шпион на машине
      От Hatchling в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:28
    3. шпион и троян
      От dsa2 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 06:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01134 seconds with 17 queries