Показано с 1 по 16 из 16.

Совсем одолели трояны!!! (заявка № 6276)

  1. #1
    Андрей С
    Guest

    Совсем одолели трояны!!!

    Поймал трояна,ничем не убивается. Антивиру находит,но после удаления через какойто промежуток опять в папке Windows\Temp появляется EXE файл, например 90exmodul32d.1.exe... а вчера после удаления таких гадов стала выскакивать надпись- "Приложению не удалось запуститься,поскольку INETCOMM.dll не быд найден.."
    Помогите!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Пришлите, как написано в Приложении 2, файл
    Код:
    D:\DOCUME~1\andrewS\LOCALS~1\Temp\2exmodul32d.1.exe
    Или любой *exmodul* оттуда, какой найдётся. Надо понять, что это за звери. Antivir про них что говорит?

    Лично я больше ничего явно криминального не вижу. Скорее всего, пролезает через сеть. Может быть, через Миранду - у вас файлообмен там случайно не подключён? Файрвол не включён, это видно. Заплатки на систему поставлены? Пароли на учётные записи с правами администратора заданы?

  4. #3
    Андрей С
    Guest
    Файлик отправил. Файлообмен в Миранде не подключен, пароли по идее должны быть поставлены, сервер настраивал не я...Антивир их находит, но нет никакой системы в их появлении-может пройти час работы,а потом начинают сыпать.У меня стоит Avira, она их находит, но в ее базе ничего об этих троянах нет..

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Но имена она какие-то называет?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    @Андрей С
    Вот эта гадина у Вас сидит http://www.sophos.com/security/analy...jircbotfp.html.
    Пришлите эти файлы
    D:\WINDOWS\system\smss.exe
    D:\WINDOWS\system32\nvsvcd.exe
    и этот, если найдёте
    D:\WINDOWS\system32\netf.dll или D:\WINDOWS\system\netf.dll

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Андрей С
    Файлик отправил.
    Файл не дошел. Только, информационный ini о D:\WINDOWS\system32\84exmodul32d.1.exe

  8. #7
    Андрей С
    Guest
    Переотправил файлик

  9. #8
    Андрей С
    Guest
    антивир находит их под разными именами.Последнее TR/Zlob.Gen.61

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от Андрей С
    антивир находит их под разными именами.Последнее TR/Zlob.Gen.61
    все присланные вами файлы - троянские программы (в том числе для рассылки спама). удаляйте эти файлы, тем более что антивирус их детектирует

    p.s. запрошенные файлы нужно отправлять через web-интерфейс как написано в правилах, а не прикреплять к теме

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Файл сохранён как 060921_021108_virus_45122cfcea754.zip
    Размер файла 112265
    MD5 cbcd464883c8714020f7dd80163a5d3f

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    Цитата Сообщение от MOCT
    все присланные вами файлы - троянские программы
    на текущий момент именуют их так:

    AntiVir Found Trojan/Proxy.Horst.JK, Heuristic/Malware (probable variant)
    ArcaVir Found Trojan.Proxy.Horst.Jk
    Avast Found Win32:Agent-VM
    AVG Antivirus Found nothing
    BitDefender Found Generic.Malware.SMYVdg.CFD645D5
    ClamAV Found Trojan.IRCBot-714
    Dr.Web Trojan.Spambot
    F-Prot Antivirus Found W32/Methodbod.gen - Packed
    Fortinet Found W32/Horst.JK!tr
    Kaspersky Anti-Virus Found Trojan-Proxy.Win32.Horst.hl
    NOD32 Found a variant of Win32/Medbot.BB, probably a variant of Win32/TrojanProxy.Horst.HD (probable variant)
    Norman Virus Control Found nothing
    UNA Found nothing
    VirusBuster Found Worm.Medbot.Gen.3
    VBA32 Found nothing

  13. #12
    Андрей С
    Guest
    Все отправлено как в Правилах).А как их удалить эти программы,если неизвестно откуда они берутся?Если бы это было раз в день,а то сыпятся постоянно...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Андрей С
    Все отправлено как в Правилах).А как их удалить эти программы,если неизвестно откуда они берутся?Если бы это было раз в день,а то сыпятся постоянно...
    Вариантов несколько. Могут через дыры в Windows лезть. Ставте все обновления. http://windowsupdate.microsoft.com/

    Или пароль администратора отсутствует/простой.

    Вот полезное средство для поиска уязвимостей:
    http://www.microsoft.com/downloads/d...DisplayLang=en

    PS. Cлужбу восстановления системы отключили?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Немного о полученных файлах.

    Файл D:\WINDOWS\system\smss.exe содержит в себе еще одного трояна, которого подбрасывает на компьютер - так появляется файл D:\WINDOWS\system32\nvsvcd.exe.

    Интересна работа файла 49exmodul32d.1.exe. Это спам-бот, который пока детектируется антивирусами под такими именами:

    AntiVir 7.2.0.16 09.21.2006 TR/Proxy.Horst.JK
    Avast 4.7.844.0 09.19.2006 Win32:Agent-VM
    BitDefender 7.2 09.21.2006 Generic.Malware.SMYVdg.CFD645D5
    ClamAV devel-20060426 09.21.2006 Trojan.IRCBot-714
    DrWeb 4.33 09.20.2006 Trojan.Spambot
    eTrust-InoculateIT 23.73.1 09.21.2006 Win32/Horst.3fw!Trojan
    Ewido 4.0 09.20.2006 Proxy.Horst.jk
    Fortinet 2.82.0.0 09.20.2006 W32/Horst.JK!tr
    Kaspersky 4.0.2.24 09.21.2006 Trojan-Proxy.Win32.Horst.jk
    Panda 9.0.0.4 09.20.2006 Suspicious file

    Он выкачивает с адреса http://out.catchonlife.com/nw2/r2.txt список файлов, которые нужно скачать для дальнейшей работы. в этом списке:
    domain.cab - список доменов для генерации адресов отправителя
    fname.cab - список имен для генерации имени отправителя
    lname.cab - спиок фамилий для генерации имени отправителя
    body.html - текст спама в формате html
    seek.cgi - список почтовых адресов, по которым нужно разослать спам
    также существует адрес http://out.catchonlife.com/nw2/r1.txt, но файл
    http://seekj.lootseek.com/d/s3.2.txt на который он ссылается уже не доступен.

    Спам-бот умеет противодействовать антивирусам и фаерволам, таким как Sygate, Outpost, WinRoute, McAfee, Kaspersky, Symantec.

  16. #15
    Андрей С
    Guest
    Установил антивирус Sophos,нашел он программу вида data.exe - и все остановилось! Может это пока,но шквал образования этих ботов исчез - пока их нет совсем в тех директориях где были.

  17. #16
    Андрей С
    Guest
    Софос все излечил!! Спасибо Rene-Gad за ссылку! Запустили в офисе на проблемных машинах smss.exe, data.exe, setup.exe были им найдены! Похоже все ОК!

  • Уважаемый(ая) Андрей С, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Одолели трояны
      От EclipseOfTheMoon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.06.2009, 21:15
    2. Трояны одолели...
      От T.S.A в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:35
    3. трояны одолели
      От aleex17 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:53
    4. трояны замучали совсем
      От ophelia_milles в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 22.02.2009, 03:11
    5. Трояны одолели
      От betsy в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 13.05.2008, 10:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00351 seconds with 17 queries