Показано с 1 по 12 из 12.

Троян достал! (заявка № 6332)

  1. #1
    LюbаШа
    Guest

    Троян достал!

    Symantec AntiVirus версия 10 у меня стоит. Антивирус ведет себя так, будто The Bat принимает-отправляет почту (в правом нижнем углу монитора показывается значок письма с шаращей по ней лупой). На самом деле я ничего не отправляю и даже мышь не запущена. После некотрого времени "проверки отправляемого письма", которое я на самом деле не отправляю, выскакивает окно Symantec Email Proxy с сообщениями типа : ваше почтовое сообщенение не будет отправлено т.к. ваш сервер остановил такое то сообщение. Или пишет сообщения с какими то дурацкими адресами почтовыми, на которые я якобы отправляю письмо, а они не уходят ибо связь с сервером прервалась. Поставленный на комп фаервол ежесекундно блокирует файл taskdir.exe. Изрядно поднадоел уж...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от LюbаШа
    Или пишет сообщения с какими то дурацкими адресами почтовыми, на которые я якобы отправляю письмо, а они не уходят ибо связь с сервером прервалась. Поставленный на комп фаервол ежесекундно блокирует файл taskdir.exe. Изрядно поднадоел уж...
    у вас на компьютере стоит спам-бот, который без вашего ведома рассылает спам.

    причина появления этого троянца в системе простая - стоит Win2000 с устаревшим сервиспаком. обновитесь до SP4 и поставьте боле свежие заплатки.

    пришлите по правилам форума файлы:
    c:\winnt\system32\taskdir.exe
    C:\WINNT\system32\adir.dll
    C:\Program Files\Common Files\Parus Shared\Glink32.dll

    из Менеджера автозапуска AVZ (Сервис -> Менеджер автозапуска) удалите упоминание файла с именем c:\winnt\system32\taskdir.exe (в пункте Реестр -> Run*)

  4. #3
    LюbаШа
    Guest
    Как так может быть? - поиск находит файл taskdir.exe, а физически я его увидеть не могу! включен режим показа скрытых файлов. При щелчке на файл в окне поиска, курсор падает на первый попавшийся файл. В Менеджере автозапуска AVZ в указанном пункте нет упоминаний этого файла...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это руткит, он прячется. Включите в AVZ противодействие руткитам, прежде чем искать файлы. И ищите из AVZ, как написано в Приложении 2.

  6. #5
    LюbаШа
    Guest
    Я нашла файлы taskdir.exe И adir.dll исключительно в безопасном режиме. Там же запустила AVZ и в автозагрузке этот файл отобразился, удалила его (правда, случайно удалила какую то строку ...:/ я думала она удалит строку с галкой, а она удалила строку, на которой был курсор) Вследствие чего не автозагрузился антивирус.
    Последний раз редактировалось anton_dr; 27.09.2006 в 12:57. Причина: Прикрепление файлов с заразой

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Антивирус всё равно желательно заменить на что-нибудь более надёжное - Dr.Web, KAV, BitDefender, NOD.

    Файлы прислали? Делайте новые логи.

  8. #7
    LюbаШа
    Guest
    не поняла: эти файлы надо было удалить с компа? перетащить в другую папку или не трогать? я в безопасном режиме скопировала их в новую созданную папку, в которой в нормальном режиме они отобразились. Т.е. оригиналы сидят на месте. Их надо все удалить, а потом опять просканить и сделать логи?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Запрошенные файлы следует присылать согласно правилам, а не прикреплять к сообщениям.

    Файл сохранён как 060927_050012_123_451a3d9c37a8c.rar
    Размер файла 144106
    MD5 3af38281ea4ce8985dd64097e7610542

  10. #9
    LюbаШа
    Guest
    Извиняюсь, не сразу поняла что за приложение 2...При просмотре карантина там сидит только файл Glink32.exe. При добавлении показал, что туда добавился этот файл и taskdir.exe. Adir.dll нигде не высветился. Полученнный архив отправила.
    Руткиты нейтрализовала через стандартные скрипты - правильно? Но все равно эти файлы не высветились
    Последний раз редактировалось LюbаШа; 27.09.2006 в 13:33.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    C:\WINNT\system32\adir.dll - Trojan.PWS.Micro
    c:\winnt\system32\taskdir.exe - Trojan.EmailSpy

    первый ворует пароли,
    второй - рассылает SPAM.

    Удалите последовательно через меню Файл->«Отложенное удаление» эти файлы.

  12. #11
    LюbаШа
    Guest
    удалила через Файл->«Отложенное удаление». Пока ничего меня не беспокоит. На этом все Или еще что-то надо сделать (кроме обновления до 4 sp и установки заплаток)?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Повторите логи с пункта 10 - для контроля. И, поскольку был парольный ворюга, поменяйте пароли на всё.

  • Уважаемый(ая) LюbаШа, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Аutorun достал [Worm.Win32.Riskrun.a ]
      От Aleks121 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 09:57
    2. Достал BN2.TMP
      От altab в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:00
    3. Троян уже достал!!!
      От Ambassador в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:25
    4. Достал троян!
      От Luc16 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:37
    5. IE бар уже достал( ((
      От script88 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.10.2008, 14:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00172 seconds with 20 queries