Показано с 1 по 9 из 9.

win32/TrojanClicker.Small.KJ (заявка № 6298)

  1. #1
    Lurker01
    Guest

    win32/TrojanClicker.Small.KJ

    Доктор Вев егоу меня не увидел вапще, нод-32 опознал, но удалить не может.AdAware не видит, Spybot 1.3. находит 4-5 веток в реестре, правит и тут же находит их созданными заново.
    логи:
    Logfile of HijackThis v1.99.1
    Scan saved at 12:38:17, on 22.09.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\service32.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\Program Files\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\PROGRA~1\MICROS~4\rapimgr.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\totalcmd\TOTALCMD.EXE
    c:\hj\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ya.ru/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.21.1:8038
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 192.168.21.*
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
    O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
    O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .mp4: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{33FE38AA-E24F-471F-8D35-F7C46BCEFA32}: NameServer = 195.38.32.2,195.38.33.2,192.168.21.3
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Протоколы в архиве нужно прикреплять к сообщению, согласно правилам. В таком виде их сложно смотреть специалистам.

  4. #3
    Lurker01
    Guest
    я поторопился-перенервничал и не прикрепил архивы сразу, а фукции добавить вложение при правке я не нашел потому делаю как все в росии - "стоя в гамаке на лыжах":

    http://slil.ru/23153052 - тут в архиве лежит инфицированный dll-файл трояна

    http://slil.ru/23153058 - это virusinfo_syscheck.zip
    http://slil.ru/23153065 - это virusinfo_syscure.zip

    Прошу прощения за мою невнимательность...

  5. #4
    Lurker01
    Guest
    http://slil.ru/23153132 - логфайл HijackThis

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Всеравно логи не по правилам ... но тем не менее доступны.
    Значит так, нужно согласно правилам прислать для анализа файлы:
    c:\windows\service32.exe
    C:\WINDOWS\syst32.dll
    C:\WINDOWS\system32\drivers\sbfshook.sys
    CTHELPER.EXE

  7. #6
    Lurker01
    Guest
    Цитата Сообщение от Зайцев Олег
    Всеравно логи не по правилам ... но тем не менее доступны.
    Значит так, нужно согласно правилам прислать для анализа файлы:
    c:\windows\service32.exe
    C:\WINDOWS\syst32.dll
    C:\WINDOWS\system32\drivers\sbfshook.sys
    CTHELPER.EXE

    Результат загрузки

    Файл сохранён как060923_145953_virus_451584298421b.zipРазмер файла25941MD5fd6efb919634624fc2dd3b0b1db13aacФайл закачан, спасибо!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Lurker01
    Файл сохранён как060923_145953_virus_451584298421b.zip
    файлы C:\WINDOWS\syst32.dll и C:\WINDOWS\CTHELPER.EXE так и не добавились - противодействие руткитам включали? попробуйте повторить добавление этих файлов в карантин и прислать нам.

    файл c:\windows\service32.exe - троянская программа, удаляйте его (можно с помощью отложенного удаления из AVZ).

  9. #8
    Lurker01
    Guest
    Файл сохранён как060924_022104_virus_451623d0c7d18.zipРазмер файла2447MD5cc3d91f96861394e85d73f2c55ce1c85


    ---------

    Процесс добавления файлов запущен
    Файл C:\WINDOWS\syst32.dll добавлен в карантин
    Процесс добавления файлов завершен

    В карантине C:\WINDOWS\CTHELPER.EXE занимает 0 байт
    в сейф моде стер файлы.

    service32.exe и syst32.dll

    --- Spybot - Search && Destroy version: 1.3 --- выдал вот что:

    --- Search result list ---
    DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
    HKEY_USERS\S-1-5-21-117609710-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
    DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\0\1004!=W=3
    --------
    после удаления файлов service32.exe и syst32.dll сообщения о трояне исчезли (тьфу-тьфу-тьфу). страно лишь то, что троян страется только ручным методом
    -------------
    после стирания в сейф моде запустил AVZ:

    ротокол антивирусной утилиты AVZ версии 4.20
    Сканирование запущено в 24.09.2006 12:03:39
    Загружена база: 41561 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 13.09.2006 12:05
    Загружены микропрограммы эвристики: 360
    Загружены цифровые подписи системных файлов: 51546
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Система загружена в режиме защиты от сбоев (SafeMode)
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=08C500)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
    2. Проверка памяти
    Количество найденных процессов: 11
    Количество загруженных модулей: 150
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
    Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
    Прямое чтение C:\Documents and Settings\NetworkService\ntuser.dat.LOG
    Прямое чтение C:\Documents and Settings\UFO\Cookies\index.dat
    Прямое чтение C:\Documents and Settings\UFO\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\UFO\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
    Прямое чтение C:\Documents and Settings\UFO\Local Settings\History\History.IE5\index.dat
    Прямое чтение C:\Documents and Settings\UFO\Local Settings\History\History.IE5\MSHist012006092420060 925\index.dat
    Прямое чтение C:\Documents and Settings\UFO\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    Прямое чтение C:\Documents and Settings\UFO\NTUSER.DAT
    Прямое чтение C:\Documents and Settings\UFO\ntuser.dat.LOG
    Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
    Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
    Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\default
    Прямое чтение C:\WINDOWS\system32\config\default.LOG
    Прямое чтение C:\WINDOWS\system32\config\SAM
    Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\SECURITY
    Прямое чтение C:\WINDOWS\system32\config\SECURITY.LOG
    Прямое чтение C:\WINDOWS\system32\config\software
    Прямое чтение C:\WINDOWS\system32\config\software.LOG
    Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
    Прямое чтение C:\WINDOWS\system32\config\system
    Прямое чтение C:\WINDOWS\system32\config\system.LOG
    Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
    Прямое чтение C:\WINDOWS\system32\drivers\sptd6925.sys
    Прямое чтение C:\WINDOWS\system32\drivers\vaxscsi.sys
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A
    Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 0 TCP портов и 0 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 122077, извлечено из архивов: 89027, найдено вредоносных программ 0
    Сканирование завершено в 24.09.2006 12:19:09
    Сканирование длилось 00:15:30

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Требуеться сдетаь все логи в нормальном режиме ещё раз по правилам , а не так !!!, чтобы удостовериться

  • Уважаемый(ая) Lurker01, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/TrojanClicker.Agent.NII
      От dima2009 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 18.10.2011, 22:20
    2. ВирусWin32/TrojanClicker.Small.KJ троян
      От Алинчик в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 01:38
    3. вирус WIN32/TrojanClicker.Small.KJ
      От zmirno в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:35
    4. Worm.Win32.Perlovga.c Trojan-Dropper.Win32.Small.apl Backdoor.Win32.Small.lo
      От Катерина в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.04.2008, 15:50
    5. вирус win32/TrojanClicker.Small.KJ троян
      От gnom в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.01.2007, 14:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01072 seconds with 16 queries