Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Trojan-Downloader.Win32.INService.gen (заявка № 6845)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41

    Exclamation Trojan-Downloader.Win32.INService.gen

    Добрый день!

    Приходится подключаться к Вашему форуму в качестве нового пользователя ибо возникли проблемы.

    На машине появились непонятные коннекты ftp.exe на разные сайты. И конекты от меня на 445 порт разных айпишноков.
    Работа с интернетом тормозит и тп.

    После сканирования системы антивирусом был найден Trojan-Downloader.Win32.INService.gen. В одном из файлов, который точно запускался. А также Win32.Backdoor.RBot и подозрение на PROXY-GG Trojan.

    После 3 дней борьбы, а именно чистка этой дряни из реестра, установка разных антивирусов и тп подхожу к итогу, что вычистить полностью всю заразу не смогу и нужно переустанавливать систему на 2 машинах (локалка).

    Но хотелось бы услышать Ваше мнение и подсказки, может я еще что-то не выполнил, может есть еще шанс не сносить систему.

    Вопросы:
    1. Как узнать что закачал downloader ?
    2. Почему кроме демоверсии программки TrueSword ни один из антивирусов, а именно AVP и Symantec ни на какие вирусы не ругаются ? TrueSword в демоверсии, поэтому не может все излечить.

    и тд...

    точно знаю что вирусами создаются следующие файлы-процессы:
    svcchost.exe
    mysvc.exe
    loor.pif
    wininit32.exe

    И удаление всех возможных записей из реестра не останавливает их, через день все записи и файлы вновь появляются.

    Так как это происходит на двух компьютерах, то логи прислал с начала с одного. Может этого будет достаточно, чтобы на втором справиться с проблемой.


    Очень жду ответа.
    С уважением.
    Вложения Вложения
    Последний раз редактировалось Зайцев Олег; 20.11.2006 в 21:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Прочтите и выполните правила ...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    59
    Проверь компьютер Касперским (6 версия) с расширенными базами.
    Настройки -> Категория вредоносного ПО. Ставим галочки напротив всех.

    AOL Active Virus Shield v6.0.0308 (Урезанная версия KAV, но и менее тормознутая) берём здесь.
    Регистрируем программу здесь. Ключ на 1 год вышлют на e-mail.
    FAQs по программе здесь.
    Всё что можно вылечить лечим, остальное в карантин.

    Возможно, TrueSword сам является malware.

    Что бы узнать, что именно происходит с вашим ПК выполните все как описано в правилах.
    Последний раз редактировалось Andrey; 20.11.2006 в 20:28.

  5. #4
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Сорри, что без вложений, подготавливал.

    Именно этим каспером все и проверил, ничего не было найдено, хотя файл svcchost.exe (а это троян) специально оставил болтаться в систем32. После каспера сразу запустил Ad-Aware, которая мигом нашла этот процесс и позволила его убить.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    59
    Тогда ждём вложений.
    А так гадание на кофейной гуще.

  7. #6
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Вложения прикрепил к первому сообщению.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    59
    Нечего необычного не вижу.
    С какой машины логи?

    Если сохранились пришлите:
    svcchost.exe
    mysvc.exe
    loor.pif
    wininit32.exe

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от Andrey
    Нечего необычного не вижу...
    Windows XP SP1
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    IMHO, вот первопричина:
    Код:
    Platform: Windows XP SP1 (WinNT 5.01.2600)

  11. #10
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Пока нету ничего, сегодня весь день убил на чистку. Как появиться сразу сброшу.
    Вот только к сожалению коннект как с меня на 445 порт идет, так и ко мне пытаются коннектиться на 445. Это вижу по фаерволу.

    Служба ftp.exe самопроизвольно пытается кому-то, что-то отправить.

    Вообщем что-то на компе живет, а что не понятно.

  12. #11
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    ДА первый, а в чем проблема.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    59
    У многих пиратская винда, поэтому SP2 и не ставят Россия.
    Надеются авось пронесет и проносит
    Проблемы в незащищенности ОС WIndows - заплаты каждый месяц.
    Последний раз редактировалось Andrey; 20.11.2006 в 21:35.

  14. #13
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    НУ, а как еще

    Но, стоят и антивирусник и фаервол.

    Чего делать-то ??

  15. #14
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Как-то можно отследить кто заставляет ftp.exe запускаться ?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    59
    Знаю: больно, обидно, но надо идти на http://windowsupdate.microsoft.com/

  17. #16
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Тогда Несколько вопросов:

    1. Они мне с моей пиратской виндой дадут что-то обновлять ? И не рискованно ли так вот пойти туда ?
    2. До какого уровня обновляться и что вообще это решит ? Это червей не выгодит, как мне кажется.

    Второй сервис пак вышел ой как давно, а у меня проблемы начались после использования одного кряка, до этого используя kerio fierwall я жил абсолютно спокойно. Я вполне понимаю сетевые технологии, поэтому правильно настроить фаер нет проблем. Был момент запустил кряк, потом немного пожил без фаервола, теперь вот и мучаюсь.

    Думаете раз в логах ничего не видно, значит только на переустановку винды или на обновление ?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от kDanil
    Пока нету ничего, сегодня весь день убил на чистку. Как появиться сразу сброшу.
    Вот только к сожалению коннект как с меня на 445 порт идет, так и ко мне пытаются коннектиться на 445. Это вижу по фаерволу.

    Служба ftp.exe самопроизвольно пытается кому-то, что-то отправить.
    подключения по FTP характерны для внешних атак. через эти подключения к вам пытаются закачать троянов. некоторые IRC-боты (типа Rbot) таким образом пытаются саморазмножаться.

    переименуйте (или удалите если сами не пользуетесь) файл ftp.exe и все будет нормально

    Цитата Сообщение от kDanil
    Думаете раз в логах ничего не видно, значит только на переустановку винды или на обновление ?
    переустанавливать не надо, а критические фиксы поставить необходимо.

    Цитата Сообщение от kDanil
    1. Как узнать что закачал downloader ?
    присылайте трояна - сообщим

    Цитата Сообщение от kDanil
    2. Почему кроме демоверсии программки TrueSword ни один из антивирусов, а именно AVP и Symantec ни на какие вирусы не ругаются ? TrueSword в демоверсии, поэтому не может все излечить.
    возможно это ложное срабатывание никому не известного TrueSword'а

  19. #18
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Цитата Сообщение от MOCT
    подключения по FTP характерны для внешних атак. через эти подключения к вам пытаются закачать троянов. некоторые IRC-боты (типа Rbot) таким образом пытаются саморазмножаться.
    В том и проблема, что И ко мне ломятся и мой FTP сам куда-то ломится. Больше беспокоит куда именно мой FTP ломится. Я так понимаю, что это что-то у меня сидит, а не внешняя атака.

    Троянов пришлю, как появятся.

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от kDanil
    В том и проблема, что И ко мне ломятся и мой FTP сам куда-то ломится. Больше беспокоит куда именно мой FTP ломится. Я так понимаю, что это что-то у меня сидит, а не внешняя атака.

    Троянов пришлю, как появятся.
    MOCT же объяснил уже ... повторю чуть подробнее. Дано: компьютер без Firewall с устаревшей версией XP. В ней есть ряд уязвимостей, которые былы закрыты в SP2 и последующих заплатках (как раз Ваш случай). Где-то в Интернет есть куча зараженных компьютеров, на которых обитают сетевые черви... эти черви пытаются атаковать другие компьютеры и внедриться на них. Делается это так - на атакуемый компьютер посылается специально подготовленный сетевой пакет (или пакеты). Если компьютер уязвим, то в результате обработки этих пакетов возникает сбой и происходит выполнение программного кода, содержащегося в этом сетевом пакете. Код этот маленький по объему и ничего сложного сделать не может - поэтому обычно его работа сводится к запуску ftp.exe или tftp.exe с параметрыми для загрузки на пораженный компьютер самого червя...
    Методики защиты:
    1. Покупка XP. Тогда появляется возможность устанавливать заплатки по мере их появления без опасения о том, что нарушится левая активация и XP перестанет работать. В худшем случае можно купить в любом ларьке XP SP2 ... Далее стоит переименовать ftp.exe скажем в _ftp.exe, а tftp.exe - в _tftp.exe. Это нейтрализует большинство эксплоитов ...
    2. Установка и настройка Firewall. Для начала годится встроенный в XP SP2, его уже достаточно для защиты от атак червей такого типа. Но лучше - установить Firewall посерьезнее - большинство современных Firewall кроме всего прочего умеют детектировать и блокировать сетевые атаки и эксплоиты (так называемая IDS - система детектирования атак).
    3. Нужно выкинуть TrueSword. Что это вообще за антивирус/антишпион - я как-то тестировал антишпионов, про такого никогда не слышал. А вот в компании Symantec слышали - это зловред, который якобы ищет заразу на компьютере:
    http://www.symantec.com/security_res...062816-5804-99
    пришлите его согласно правилам для анализа, посмотрим, что это за зверь (а еще лучше - пришлите ссылку на его дистрибутив или сам дистрибутив, если он небольшой)

  21. #20
    Junior Member Репутация
    Регистрация
    20.11.2006
    Сообщений
    12
    Вес репутации
    41
    Спасибо за подробный ответ.

    TrueSword живет тут:
    hххp://ххх.ххх.ххх/true_sword.html

    Нашел его случайно. когда в гугле по loor.pif искал.

    По XP буду думать, в принципе есть HOME Edition лицензионная, но не знаю насколько она урезана по сравнению с Prof.

    ftp переименую.

    По фаерволам:

    Использовал Atguard - не знал горя, потом перешел на Kerio Personal Firewall 2.5 тоже все устраивало.
    Теперь есть необходимость на одной машите NAT прикрутить и хочется чтобы фаервол работал одновременно. Но используя WinRouter нельзя одновременно использовать Ни один из перечисленных фаерволов, они конфликтуют. С виндовым ICS такая же беда. Конечно нет проблем установить какой-либо софт для обеспечения NAT, но нужно чтобы одновременно работал какой-то фаервол с функционалом в котором не нужно прописывать конкретные роуты, а нужно чтобы как atguard или kerio 2.5 всплывали окошки с уведомлением, что такая-то программа хочет туда-то....

    Вот и пришлось установить Kerio 5, там нат поддерживается, но фаервол руками прописывать роуты нужно, что видимо и привело к появлению червей, так как на все не пропишешь, особенно при моем использовании сети, когда и игры играются и сайты пишутся и что только не делается.
    Последний раз редактировалось anton_dr; 22.11.2006 в 07:06.

  • Уважаемый(ая) kDanil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 29.04.2012, 05:51
    2. Ответов: 8
      Последнее сообщение: 25.01.2011, 17:10
    3. Ответов: 10
      Последнее сообщение: 06.10.2010, 22:31
    4. Ответов: 3
      Последнее сообщение: 18.07.2010, 00:09
    5. Trojan-Downloader.Win32.INService.gen
      От Dark_Blaze в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.05.2006, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01652 seconds with 17 queries