Показано с 1 по 16 из 16.

Невидимый Trojan-PSW.Win32.LdPinch.pas (заявка № 7235)

  1. #1
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44

    Thumbs up Невидимый Trojan-PSW.Win32.LdPinch.pas

    Здравствуйте, господа
    Вот такая беда случилась.

    Outpost поймал попытку schost.exe зайти по SMTP протоколу на SMTP-сервер майл.ру. Судя по журналу он ломится туда каждые полчаса.

    Проверил комп полностью с последними базами dr.web и AVP. Они ничего не нашли, но всплыло вот что. Где-то через минуту после загрузки винды, если была включена постоянная защита AVP, то она ругалась на Trojan-PSW.Win32.LdPinch.pas в файле c:\pass.bin. А потом пыталась его удалить и бодро рапортовала, что этот файл не найден.
    Я и сам проверил через "Мой Компьютер" - действительно примерно через минуту после загрузки Винды там появляется файл pass.bin, размером в несколько Кб, который через 1-2 секунды исчезает.

    Вот такой вот трабл. Видимо это какая-то неизвестная антивирям модификация Trojan-PSW.Win32.LdPinch.pas?
    Вложения Вложения
    Последний раз редактировалось Александер; 22.12.2006 в 17:04. Причина: Изменение названия

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    авз- файл- выполнить скрипт .
    вставить следующие строки и нажать на выполнить .
    полученный архив прислать нам по правилам .
    Код:
     begin
      SearchRootkit(true, true);
      QuarantineFile('\SystemRoot\System32\Drivers\dump_WMILIB.SYS','');
      QuarantineFile('\SystemRoot\System32\Drivers\dump_atapi.sys','');
      QuarantineFile('prosync1.sys','');
      QuarantineFile('prohlp02.sys','');
      QuarantineFile('c:\windows\svchost.exe','');
     end.
    скачать последнею версию hijack this и сделать новый лог .

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1366
    1. Выполните скрипт:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('WgaLogon.dll','');
    QuarantineFile('c:\windows\svchost.exe','');
    QuarantineFile('C:\WINDOWS\system32\WPDShServiceOb j.dll','');
    DeleteFile('c:\windows\svchost.exe');
    DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    2. Отправьте карантин нам.
    3. Срочно замените все ПАРОЛИ: (после выполнения пункта 1) на почту , аську и .т.д. веб мони спасайте.

  5. #4
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44
    2Alex_Goodwin

    Выполнил скрипт, комп перезагрузился.
    Карантин выслал.


    2drongo

    Я тут затупил.
    Ваш скрипт выполнил, но сразу же за ним выполнил скрипт 2Alex_Goodwin.
    Как теперь лучше сделать?

    Да, и еще. Троянец ломился на SMTP порт по TCP протоколу.
    Последний раз редактировалось Александер; 22.12.2006 в 17:38.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1366
    Ничего страшного.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1366
    Пароли поменяли?
    Сделайте новые логи.

  8. #7
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44
    Так есть вероятность, что пароли НЕ уплыли?

  9. #8
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44
    Вот снова просканировал.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Цитата Сообщение от Александер Посмотреть сообщение
    Так есть вероятность, что пароли НЕ уплыли?
    Лучше поменять. Бережёного... сами знаете.

    И ещё пофиксите:
    Код:
    O2 - BHO: IE Adapter Class - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll (file missing)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Новую версию hijack this не скачали , а зря

    пофиксить :
    Код:
    O2 - BHO: IE Adapter Class - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll (file missing)

  12. #11
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44
    В смысле новую версию? Я ведь скачал сегодня одну. Надо было ее еще раз скачать?

    И как пофиксить это? Удалить? В этой папке dll уже нет, есть там там только два exe-шника:
    tmasrv.exe
    Uninstaller.exe

    И такой вопрос. Вы смотрели карантин, что я вам прислал? Что там?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Что такое "пофиксить"
    А папку убейте вместе с содержимым.

    P.S. Актуальная версия HijackThis - 1.99.1 против вашей 1.98.2

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Вот прямая ссылка на последнею версию :
    http://www.tomcoyote.org/hjt/hjt199//hijackthis.zip
    она в архиве , надо распаковать и запустить .

  15. #14
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44
    Спасибо, понял. Сделал.

  16. #15
    Junior Member Репутация
    Регистрация
    22.12.2006
    Сообщений
    7
    Вес репутации
    44
    Цитата Сообщение от drongo Посмотреть сообщение
    Вот прямая ссылка на последнею версию :
    http://www.tomcoyote.org/hjt/hjt199//hijackthis.zip
    она в архиве , надо распаковать и запустить .
    Вот, во вложении лог.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Вроде чисто.

  • Уважаемый(ая) Александер, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 14.11.2010, 18:32
    2. Trojan.Win32.LdPinch.acxx, Trojan.Win32.Autoit.hw et ctr
      От tkach2 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.01.2009, 12:58
    3. Ответов: 4
      Последнее сообщение: 24.06.2008, 19:44
    4. Trojan-PSW.Win32.LdPinch.bcv...
      От Shadow[13] в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 23.11.2006, 07:48
    5. Trojan-PSW.Win32.LdPinch.sh
      От nEtVIL в разделе Вредоносные программы
      Ответов: 17
      Последнее сообщение: 28.01.2006, 09:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00644 seconds with 17 queries