Я уже запарился чистить службы в реестре и удалять файлы с винта.
Со службами проще всего - если знаешь что у тебя установлено - а трояны не особо трудятся комменты писать, а если и написано то на каком-то турецком - вобщем палятся они быстро. С файлами сложнее но их я тоже умудряюсь находить (по крайней мере exe и bat). Но что-то все же остается - что-то типа драйвера или шедулера. Один раз с помощью Sysinternals Process Explorer заметил активность при восстановлении соединения с интернетом после обрыва - может совпадение, а может и перехватчик.
Начинается запуск трояна после полной загрузки винды.
1.Паралелльно с процессом explorer.exe запускается еще один стандартный winlogon.exe процесс
2.Паралелльно с процессом explorer.exe запускается svchoct.exe процесс из папки %WINDOWS%\SYSTEM32\inf
3.Затем грузится троян smss.exe и csrss.exe в дерево процессов через стандартный процесс services.exe
4.Потом паралелльно с процессом explorer.exe возникает до трех скрытых процессов IEXPLORER.exe
После этого периодически в папке %TEMP% винды возникает файл down.exe и пытается запуститься - его антивирь видит как "возможно, инфицирован MULDROP.Trojan"
5.Также, после этого, могут возникать файлы на С:\ в корне или в папке %WINDOWS%\SYSTEM32 (Это то что мне Др.Веб. показывает):
- 32599773.exe (размер:20992 байт) - "инфицирован DDoS.Attack.origin";
- tmd.exe (размер:583680 байт) - "инфицирован Trojan.DownLoader.origin";
- 1[1].exe или A0028192.exe или A0028303.exe или w.exe (размер:6656 байт) - инфицирован Trojan.DownLoader.origin;
- Down(n).exe - инфицирован DDoS.Attack.origin, где n - от 0,1,2 и т.д.;
- 11.exe.tmp - инфицирован BackDoor.Pigeon.origin;
- A0024465.exe - инфицирован BackDoor.Icepoint;
- A0024464.exe - инфицирован Trojan.Hitpop.618;
- 506341.exe - инфицирован Trojan.Hitpop.origin;
- sp.exe - инфицирован Trojan.KeyLogger.1620;
- server.exe - инфицирован Trojan.KeyLogger.origin;
- 32599773.exe - возможно, инфицирован DLOADER.Trojan;
Сам файл smss.exe и csrss.exe ложится всегда в папку %WINDOWS%\SYSTEM32\Patch с атрибутом "hidden" - антивирь его пропускает
Да еще появляется файл rost.exe в каталоге "C:\Program Files" - тоже скрытый.
Ручная чистка не помогает - после перезагрузки винды все повторяется.
Не могу вручную найти эту хрень.
P.S. Забыл добавить - какая-то дрянь блокирует меня когда пытаюсь отключить систему восстановления. На попытку отключить - получаю мессаджбокс "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите комп и повторите попытку" - перегружал - таже хрень. Пробовал через политики групп - там все отключается но каталог восстановления системы все-равно заблокирован и оно не отключено.
Последний раз редактировалось evilWizard; 30.10.2008 в 23:26.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнился.
Вот лог из пункта 2 Диагностики.
После перезгрузки и перед появлением выбора пользователей для входа в систему появилось окошко пустое с единственной кнопкой ОК - закрыть не удалось пришлось нажать.
Еще было найдено неизвестное оборудование - неизвестное устройство.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: