Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 77.

Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)

    Сегодня наблюдается уже несколько обращений пострадавших от данного трояна - данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
    Сам "зверь" имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
    WINDOWS\system32\AudioHQ.dll.exe
    WINDOWS\system32\oobe\explorer.exe
    и прописывает себя в автозапуск при помощи стандартного ключа реестра
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
    (причем в автозапуск приписывается оба файла)
    Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т.е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
    Деструктивное действие состоит в
    1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н. Policies), наприемер блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
    2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail [email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
    3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
    4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
    5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"

    Лечение
    Методика лечения:
    1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ
    2. Пролечить системный диск (с обновлением троян будет найден и убит) - должно убиться минимум 2 файла в папке Windows. Файлы можно удалить вручную - это файлы
    WINDOWS\system32\AudioHQ.dll.exe
    WINDOWS\system32\oobe\explorer.exe
    3. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции
    восстановления и нажать кнопку "Выполнить отмеченные операции"
    4. Перезагрузить компьютер. Сообщение в загрузке должно пропасть,
    блокировки вызова настроек и прочее должно восстановиться
    5. Зайти любым менеджером диска (типа FAR) на системный диск и
    5.1 Изменить атрибуты папок Windows и Program Files на нормальные (у
    них задан атрибут "скрытый")
    5.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
    6. Зайти в панель управления, там - в "Язык и региональные стандарты"
    - и там на первой закладке переключитьс с русского скажем на
    румынский и назад - это приведет к восстановлению региональных
    настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
    ----------
    Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
    ----------
    В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.
    Последний раз редактировалось Зайцев Олег; 25.07.2006 в 12:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация
    Регистрация
    04.10.2005
    Сообщений
    153
    Вес репутации
    69
    По поводу KAV и Trojan.Win32.Agent.il

    File: CodGen5.1.exe
    Status:
    INFECTED/MALWARE
    MD5 d2c48dfa762aec8e2ebdc9c6913d8ed3
    Packers detected: S0M# 2.60

    Scanner results
    AntiVir Found nothing
    ArcaVir Found Trojan.Agent.Ht
    Avast Found Win32:Trojano-2351
    AVG Antivirus Found Agent.DD
    BitDefender Found nothing
    ClamAV Found nothing
    Dr.Web
    Found Trojan.Griven
    F-Prot Antivirus Found Trojan.Griven
    Fortinet Found W32/Agent.HT-tr
    Kaspersky Anti-Virus Found nothing
    NOD32 Found Win32/KillFiles.NAB
    Norman Virus Control Found nothing
    UNA Found nothing
    VBA32 Found nothing


    Тоже самое и на virustotal и на windows XP с кав 5
    Почему так, интересно?

  4. #3
    Geser
    Guest
    Цитата Сообщение от WaterFish
    По поводу KAV и Trojan.Win32.Agent.il

    File: CodGen5.1.exe
    Status:
    INFECTED/MALWARE
    MD5 d2c48dfa762aec8e2ebdc9c6913d8ed3
    Packers detected: S0M# 2.60

    Scanner results
    AntiVir Found nothing
    ArcaVir Found Trojan.Agent.Ht
    Avast Found Win32:Trojano-2351
    AVG Antivirus Found Agent.DD
    BitDefender Found nothing
    ClamAV Found nothing
    Dr.Web
    Found Trojan.Griven
    F-Prot Antivirus Found Trojan.Griven
    Fortinet Found W32/Agent.HT-tr
    Kaspersky Anti-Virus Found nothing
    NOD32 Found Win32/KillFiles.NAB
    Norman Virus Control Found nothing
    UNA Found nothing
    VBA32 Found nothing


    Тоже самое и на virustotal и на windows XP с кав 5
    Почему так, интересно?
    Похоже не знают они троянчик. Отправил им

  5. #4
    Full Member Репутация
    Регистрация
    04.10.2005
    Сообщений
    153
    Вес репутации
    69
    ..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...

    http://virusinfo.info/showthread.php?p=56390
    Зайцев Олег 13-07, 04/10/05

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от WaterFish
    ..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...

    http://virusinfo.info/showthread.php?p=56390
    Зайцев Олег 13-07, 04/10/05
    Я проверил реакцию в конце рабочего дня - в базах он не появился. Странно, т.к. подтверждение в письме мне дали однозначное и имя зверя присвоили...

  7. #6
    Full Member Репутация
    Регистрация
    04.10.2005
    Сообщений
    153
    Вес репутации
    69
    Да похоже всей конторой заплатку шьют для cab'a
    Последнее daily-обновление на сайте от вчера 19:53 москвы

  8. #7
    Swat
    Guest

    Подяка

    Здраствуйте (Зайцев Олег), СПАСИБО за инструкцию о том как правильно удалить эту дрянь с компика.Всё получилось - СПАСИБО . Но у меня есть вопрос, какой ещё вред кроме того что побил реестр он приносит? Есть возможность того что через некоторое время он опять навредит? как удастоверится что его на машине нет? ВОстольном всё впорядке только у других прользователей не открывается меню пуск, кроме админа, может есть совет по исправлению проблемы - это случилось после заражения и обезвреживания, заранее благодарен Андрей. ответ по возможности пришлите на [email protected]

  9. #8
    J@B
    Guest

    Smile

    я удалил этот троян с помощью утилиты Neo Utilities: убрал галочку с запрета восстановления и сделал откат до заражения системы .

  10. #9
    AlexLSL
    Guest
    Один маленький вопрос..
    Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
    Окно "Выполнить.." заблокировано..
    Последний раз редактировалось AlexLSL; 13.12.2005 в 17:35.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от AlexLSL
    Один маленький вопрос..
    Со слов пользователя у него на рабочем столе нет ни обной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
    Окно "Выполнить.." заблокировано..
    Отобразить "Выполнить" WINDOWS+R - работает?
    Если нет, можно попробовать WINDOWS+F - поиск файла- avz, и из окна поиска запустить

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Exxx
    Регистрация
    05.07.2005
    Адрес
    Москва
    Сообщений
    301
    Вес репутации
    87
    Или Ctrl+Ald+Del --> "Диспетчер задач" --> "Новая задача..." --> найти и запустить икзешник АВЗ.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от AlexLSL
    Один маленький вопрос..
    Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
    Окно "Выполнить.." заблокировано..
    Win^E

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Интрересно - после почти годичного перевыва видимо пошла очередная волна. Файл немного изменился (не сильно - ошибок в коде трояна по прежнему куча), проявления и лечения аналогичные описанном выше. Кстати, запустить AVZ можно еще одим путем - этот зверь не блокирует программы/стандартные/командная строка в меню по кнопке "пуск"

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    222
    Похоже что данный вирус в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Firza
    Похоже что данный вирус в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.
    Не стоит утверждать что-то без анализа зловреда. Большинство повреждений реестра этот "зверь" делает именно в HKCU, и права на запись туда у пользователя есть.

  17. #16
    Deps
    Guest

    спасибо за помощь

    Сделал все по инструкции . Все восстановилось. Спасибо.

    ( а совет Мерфи весьма полезен - " Если что-то не получается - прочитай инструкцию")

  18. #17
    khryak
    Guest

    Thumbs up Спасибо!

    Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
    Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!

  19. #18
    Deps
    Guest
    Цитата Сообщение от khryak
    Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
    Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!
    У меня было такое. Надо в настройках монитора ( панель управления)
    в закладке Web восстановить картинку.

  20. #19
    khryak
    Guest
    Спасибо! Установка и снятие галочки "Отображать мою текущую страницу" восстановило положение картинки рабочего стола.

  21. #20
    sergiv2
    Guest
    Доброе утро!
    Извините, а где Прицепленный к теме апдейт ????
    1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ

Страница 1 из 4 1234 Последняя

Похожие темы

  1. Ответов: 10
    Последнее сообщение: 06.10.2010, 23:31
  2. Ответов: 1
    Последнее сообщение: 30.06.2009, 08:47
  3. Не удаляется троян Trojan-Mailfinder.Win32.Agent.wd
    От Fluncky в разделе Помогите!
    Ответов: 21
    Последнее сообщение: 22.02.2009, 10:11
  4. Троян Trojan.Win32.Agent.aonv
    От Merlin2008 в разделе Вредоносные программы
    Ответов: 5
    Последнее сообщение: 21.11.2008, 04:05
  5. Trojan.Win32.Krotten.dr - очередной зловред за 25 гривен
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 24.09.2007, 17:31

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00382 seconds with 19 queries