Trojan-PSW.Win32.LdPinch.bcv и кажется в результате этой гадости появилось: Backdoor.Win32.Bifrose.abt
Подозрительные процессы убил, скопировал файлы(заархивировал копии), удалил файлы, удалил все упоминания о них в реестре, проверил он-лайн тестом касперского...
Проверял всё Dr.Web, NOD32, AVZ и Ad-Aware:
Dr.Web обнаруживает только первоначальный файл
NOD32 вообще ничего не обнаруживает
AVZ так же как и NOD32 ничего не обнаружил
Ad-Aware находил и убивал(2 раза) какой-то Trojan.Downloder.am(кажется, точно не помню), перестал находить его после того как я обнаружил процесс "Microsoft.exe"(Backdoor.Win32.Bifrose.abt) в автозагрузке(через реестр) и удалил все ключи в реестре содержащие упоминания о "Microsoft.exe" и удалил сам файл...
Копии файлов я сохранил, вохможно кроме одного, который был убит Ad-Aware'ом, в последсвии я нашел упоминание о файле с очень похожим именем в вирусной энциклопедии касперского, когда смотрел информацию об одной из версий Backdoor.Win32.Bifrose...
P.S. я надеюсь ничего нигде не напутал... в смысле по поводу правил постинга мессаг тут...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
с правилами все нормально
просьба прислать сохраненные копии вредоносных программ для анализа (по правилам форума).
также пришлите на проверку:
C:\Program Files\Outlook Express\wabfind.dll
C:\Program Files\Opera\Plugins\npwthost.dll
"C:\Program Files\Outlook Express\wabfind.dll" пропал, пробовал искать через AVZ(как описанно в правилах), безрезултатно... папка "C:\Program Files\Outlook Express\" пуста, в прочем я помнится пытался убить аутглюк на совсем, только непомню увенчались-ли мои попытки успехом...
Всё остальное закачал(надеюсь я тут тоже ничего не напутал):
Файл сохранён как 061119_061009_shadow13_45603b91d61d6.rar
Размер файла 233257
MD5 1f030642d7b8a21862e785d8c24d26cf
microsoft.exe - дроппер, детектируется как Backdoor.Win32.Bifrose.abt, содержит в себе зашифрованный Backdoor.Win32.Bifrose.d, который в свою очередь содержит Trojan-Spy.Win32.Agent.ca.
рекомендуется поменять пароли на интернет, собственные сайты, ICQ, почту.
в AVZ в Менеджере расширений проводника удалите строку с упоминанием файла C:\Program Files\Outlook Express\wabfind.dll
кстати, а откуда пинча подцепили?
Не удаляется... хотя может оно и удалилось, но потом восстановилось... после третьего нажатия на кнопку удаления оно пропало и появилось в конце списка...
А подхватил я эту гадость... м... ну через мессаг по аське... мессаг был такого содержания:
"http://[censored]/spex.zip
взгляни!как тебе?!"
в прочем перед тем как запустить эту гадость я почти на 100% был уверен в том что там ничё хорошего нету, а скорее всего вирь/трой/и т.п. , но любопытсво победило... =) через пару минут я узнал что человек, якобы приславший мне это сообщение потерял свою аську, тогда сразу и начал нервничать... погуглил по имени файла немного, доктора веба скачал, проверился...
Да не... Я про троян...
А про отложенное удаление, о чём ты писал, так та дллка походу вообще от предыдущей ОС осталась... и давно дохлая... и как я уже писал я сделал, как ты сказал...
Да не... Я про троян...
А про отложенное удаление, о чём ты писал, так та дллка походу вообще от предыдущей ОС осталась... и давно дохлая... и как я уже писал я сделал, как ты сказал...
все файлы с троянами (если они еще остались в системе) - удалить отложенным удалением. после этого сделать новые логи и прикрепить к теме - будем искать, все ли удалилось
ну всё, что я находил я удалил, только копии оставил на всякий случай...
а логи ща сделаю... только сначала AVG просканюсь... а потом заодно наверное ещё каспером...
а аську у меня трой всётаки стырил... и разсылать себя пытался... сейчас вот думаю как аську вернуть =\ т.к. я там в ответах на вопросы на случай утери пароля опечатался когда писал ответы... да и было это года 3 назад... мыло которое было у мя в деталях(давно) сервис по восстановлению паролей что-то не принимает =(... упс... что-то я уже совсем оффтопить начал, сорри...
пошел проверяться... как проверюсь сделаю новые логи и запостю тут...
Поищите и пришлите файл PDBoot.exe.
(строка PDBoot.exeautocheck autochk *
в разделе Автозапуск лога AVZ)
он упомянут в реестре тут:
HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager, BootExecute
Да это кусок PerfectDisk'a(дефрагментатор такой... весьма неплохой кстати)...
Прислал:
Файл сохранён как 061121_162055_PDBoot_45636db766d84.rar
Размер файла 41677
MD5 a2ccce32ebfaf7f2fa3e7db3c7cf8367
Сообщение от Alexey P.
ЗЫ: Нативный, что ли ?
Я несовсем понял вопрос( если он вообще адресован мне )...
Последний раз редактировалось Shadow[13]; 22.11.2006 в 00:21.
не забыли. но в присланном файле нет ничего необычного, поэтому больше сказать нам нечего. какие-то симптомы еще остались? если нет, то миссия выполнена.
Ну незнаю как симптомы, но система ведёт себя не так как до трояна, она переодически подтормаживает(в прочем это было и до троя, она переодически подтормаживала(подвисала) на несколько секунд без видимых причин, но текст вводимый во время этих подтормаживания потом сразу весь целиком появлялся, а сейчас он появляется посимвольно, как от быстрого набора) ну ещё добавились всякие мелкие странности, задержки в некоторых местах, один раз слетала сетевуха(т.е. сама по себе она не слетала, а была в устройствах, но подключение по локальной сети, говорило, что сетевая карта не обнаруженна, или что-то в этом духе(прежде я таких глюков у себя ни разу не видел, да и вообще с сетевухой проблем небыло никаких последние 2 года что я под 2к3 сижу...))...
В общем из симтомов(если это можно считать симптомом) только то, что система ведёт себя несколько странно и и необычно...
Насчёт задержки с выводом на экран вводимого текста, могу предположить что это могут быть последствия работы кейлоггера(правда я не имею ни малейшего представления о том как работают кейлоггеры)...
P.S. Да и в любом случае спасибо всем =)...
P.P.S. Я попытаюсь найти какого-нить программера среди знакомых или знакомых знакомых который с дебаггером умеет работать номано, который согласится поковырять тех троянов. И ещё собираюсь под виртуальной машиной это запустить с фаерволлом каким-нить, сниффером, регмоном ну и чем-нить ещё что наблюдает за приложениями, если найду... Если чего-то выясню могу на этот форум информацию кинуть, если никто не против...
Уважаемый(ая) Shadow[13], наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: