Показано с 1 по 11 из 11.

Поймал троянчик :( (заявка № 5033)

  1. #1
    Alex39_rus
    Guest

    Exclamation Поймал троянчик :(

    Поймал каких-то троянов - при нахождении в Инете идет отправка информации (netstat-n.png - результат команды netstat -n, netstat-a.png - результат команды netstat -a). Проверил частично систему DrWeb'ом (все папки, которые использовались за последнее время + диск С полностью) - нашел 3 архива с 13-ю вирусами (vir01.png). Удалил. Но троянчик жив, уже успел пробраться куда-то.. В реестре в hkey_local_machine и hkey_current_user в run, runonce и runonceex ничего нет (кроме стандартных ctfmon.exe и т.п.
    HijackThis ничего подозрительного (на мой взгляд) не показывает (лог-айл).
    Сейчас качаю vbz, посмотрю что он скажет...

    Скрины и лог hijackthis находятся здесь: www.aleksey3.net.ru/vir (прошу прощения, что в таком виде, у меня очпень медленный и жутко дорогой инет, надеюсь, вы не сильно рассердитесь ).

    upd: командой netstat -b также не удается выявить источник.. в лучшем случае пишет "--неизвестный процесс--"

    ps: посоветуйте хороший и простой в настройке файервол..
    Вложения Вложения
    Последний раз редактировалось Alex39_rus; 18.03.2006 в 04:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Alex39_rus
    Guest
    Проверил скриптами AVZ - при подключении к Инету открыто много портов, причем это происходит сразу же как запускаю IE. Даже если его потом закрыть - подключения останутся..

    ps: Far, cd slow - 100% не трояны
    Вложения Вложения

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Alex39_rus
    Проверил скриптами AVZ - при подключении к Инету открыто много портов, причем это происходит сразу же как запускаю IE. Даже если его потом закрыть - подключения останутся..

    ps: Far, cd slow - 100% не трояны
    Для начала согласно правилам нужно прислать файл C:\WINDOWS\system\ctldlg32.dll
    system32\DRIVERS\basic2.sys
    system32\DRIVERS\v124nt.sys
    Скорее всего проблема именно в ctldlg32.dll ... остальные два драйвера не значатся в моих базах данных, интересно на них посмотреть

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Зайцев Олег
    Скорее всего проблема именно в ctldlg32.dll ...
    Угу -
    Proxy-Agent.aj Proxy Trojan. A PT is a backdoor trojan which allows a remote hacker to connect to other computers via the compromised system.
    1. C:\WINDOWS\system\ctldlg32.dll
    Пришлите как написано в правилах.

    2. Из AVZ файл->Отложенное удаление выберите C:\WINDOWS\system\ctldlg32.dll и перезагрузитесь.

    3. В логе Hijack пометьте строку
    O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll
    и нажмите FIX.

    4. Логи начиная с п. 11 правил - на проверку.
    Последний раз редактировалось RiC; 18.03.2006 в 10:41.

  6. #5
    Alex39_rus
    Guest
    У C:\WINDOWS\system\ctldlg32.dll дата создания 11.03.2006 - это когда я подцепил эту заразу. Указанные файлы прикрепляю в архивах с паролем virus. Эти же файлы отправил в лабораторию DrWeb.
    Сделаю как говорите и, как только смогу подключиться к инету - выложу новые логи.
    Спасибо!
    Кстати, что он делает? Случайно не спам рассылает через меня? Или что-то у меня ворует?

    ps: system32\DRIVERS\v124nt.sys не вмещается на форуме. выложил по вышеуказанной ссылке (в первом сообщении).
    Последний раз редактировалось RiC; 18.03.2006 в 22:25.

  7. #6
    Alex39_rus
    Guest
    Сделал как и говорили - вот результаты.
    (offline - без Инета, online - при подключенном Инете)

    Что еще нужно сделать? Он полностью исчез?
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Alex39_rus
    Что еще нужно сделать? Он полностью исчез?
    Исчез, хвостов тоже не наблюдается.
    Ещё я бы рекомендовал заглянуть в этот топик и подобрать себе что-нибуть по вкусу
    Так-же желательно регулярно посещать http://windowsupdate.microsoft.com как минимум поставить вот эту заплатку.
    (Список полезных заплаток ещё можно найти здесь)

    PS: На будующее - попрошу заразу больше на форум не выкладывать

  9. #8
    Alex39_rus
    Guest
    WU качает в автоматическом режиме.
    Я не знал, что нельзя, раз просили - выложил

    еще раз спасибо!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Alex39_rus
    WU качает в автоматическом режиме.
    Я не знал, что нельзя, раз просили - выложил
    В правилах этого раздела написано куда её девать

    Цитата Сообщение от Alex39_rus
    еще раз спасибо!
    Пожалуйста.

  11. #10
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    basic2 - 99.99% Simple basic rootkit #2 (c) ro__kit.com..
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Sanja
    basic2 - 99.99% Simple basic rootkit #2 (c) ro__kit.com..
    http://drivers.on-line.net.nz/p/nph-detail.php?a=2174
    Это дрова от модема.
    Conexant похоже Sample спёр и даже переименовать поленился.
    Последний раз редактировалось RiC; 19.03.2006 в 11:56.

  • Уважаемый(ая) Alex39_rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. поймал маячёк
      От kusya в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.07.2012, 07:44
    2. Nod поймал троян Win32/Corkow.A в памяти
      От hlodnokroven в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.11.2011, 01:00
    3. Ответов: 3
      Последнее сообщение: 05.04.2010, 21:27
    4. поймал троян win32.agent
      От viruswin32 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.03.2009, 14:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00937 seconds with 20 queries