Показано с 1 по 12 из 12.

Подозрение на Trojan-PSW.Win32.Maran.bp "Часть 2" (заявка № 7700)

  1. #1
    Junior Member Репутация
    Регистрация
    29.01.2007
    Сообщений
    5
    Вес репутации
    63

    Exclamation Подозрение на Trojan-PSW.Win32.Maran.bp "Часть 2"

    Добрый день.Извиняюсь что открываю новую тему т.к похожая проблема была рассмотрена пару дней назад,но меня смутило несоответствие в названии одного файла в скрипте.В правилах сказано "не запускайте скрипты написанные не для вас..." вот я и решил перестраховаться.
    А суть проблемы та жа c:\windows\smss.exe >>> подозрение на Trojan-PSW.Win32.Maran.bp ( 0A722F58 0348A933 001EEEFD 001F3F5C 34816)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    27.01.2007
    Сообщений
    111
    Вес репутации
    63
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\SystemRoot\System32\Drivers\ahi5td4j.SYS','');
     QuarantineFile('C:\WINDOWS\system32\ou1viewer.dll','');
     QuarantineFile('c:\windows\smss.exe','');
     DeleteFile('c:\windows\smss.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После пезагрузки пофиксите в HijackThis
    Код:
    	O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll (file missing)
    	O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll (file missing)
    	O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    	O8 - Extra context menu item: Bookshelf - C:\Program Files\Bookshelf\TRBookshelf_.dll.button.js
    	O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    	O9 - Extra button: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - C:\Program Files\Bookshelf\TRBookshelf_.dll.button.js
    O9 - Extra 'Tools' menuitem: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - C:\Program Files\Bookshelf\TRBookshelf_.dll.button.js
    	O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe (file missing)
    Файлы из папки AVZ - Quarantine - сегодняшнее число пришлите нам по правилам форума. После всех действий повторите логи. Коллеги посоветовали не много изменить концепцию скрипта. Прошу прощение за допущенную ошибку.
    Последний раз редактировалось Max_Novak; 29.01.2007 в 18:58. Причина: Редактирование скриптов

  4. #3
    Junior Member Репутация
    Регистрация
    29.01.2007
    Сообщений
    5
    Вес репутации
    63
    Добрый день.Ситуация следующая:
    В прошлый раз я выполнил скрипт в его оригинальном виде(т.е. не изменённый)и как оказалось поторопился - Виндовс сдох.Пришлось форматировать диск.Несколько дней назад я установил Виндовс снова и до сегодняшнего утра всё было Ок.Компьютер работает три дня без выключения (emule ) а сегодня утром я обнаружил что в диспетчере задач вместо обычных 23 процессов 24.Думаю опаа,неужели...и действительно - зверюка вернулся,на то же самое место в том же самом виде.Просканировал программой Dr.Web CurIt! - C:\WINDOWS\smss.exe - оказался Trojan.PWS.Ran.
    1.Можно узнать что же это такое,откуда берётся и как с этим бороться?
    2.Стоит ли выполнить написанный ранее изменённый скрипт или нужно сделать новые логи и отправить вам?

  5. #4
    Geser
    Guest
    Что значит сдох. Конкретнее

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522

    Question

    Логи нужны обязательно.

    Правила безопасности соблюдаете: пароль на учетку "Администратор" стоит? Фаервалл встроенный поднят? Расшаренные директории имеются?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    29.01.2007
    Сообщений
    5
    Вес репутации
    63
    Geser - Компьютер загружался минут 15-20,т.е. появился рабочий стол без ярлыков без панели пуск просто картинка и висел так в течении этого времени.Потом всё таки рабочий стол появился полностью,но несколько програм и игр невозможно было запустить жаловались на сбой в системе..да и интернет не работал.Примерно так.

    PavelA - В компьютерах я не очень силён,как мне установили Виндовс таким он и стоит сам ничего не менял.Про пароль администратора ничего не могу сказать - не сталкивался с этим.Если под "встроенный фаерволл" подразумевается Брандмаузер Виндовс то да,включён без исключений.Расшаренные директории - что это?Логи сделаю,пришлю.

    P.S. Пока это писал второй процесс smss.exe изчез из дичпетчера задач хотя в папке Виндовс он попрежнему присутствует.Может это из-за того что в программе Dr.Web curIt! я включил лечить этот файл после перезагрузки...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    J.Mack При входе в систему пароль набираете? Если да, то значит пароль есть.
    Расшаренные папки - директории, к которым имеют доступ на запись другие пользователи сети.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    29.01.2007
    Сообщений
    5
    Вес репутации
    63
    PavelA - Нет,пароль не набираю.
    Хм,сам лично ни одну папку я не расшаривал(если можно так выразиться),единственная папка которая может быть доступна кому нибудь кроме меня это папка emule incoming.
    P.S. Сейчас попытался удалить файл из C:\WINDOWS\smss.exe вручную и он как ни странно полетел в корзину...может удалить его и дело с концом?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    J.Mack - Файл может заново возродиться, удалять надо по всем правилам со всеми его потрохами. Кстати, именно в e-mule incoming он и может прилетать.
    Пароль надо поставить. Оффтопик: Дверь дома на ключ закрываете? Так вот пароль это тот же замок на двери.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Geser
    Guest
    Возможно файл проводника был повреждён трояном, и можно было решить проблему его заменой

  12. #11
    Junior Member Репутация
    Регистрация
    29.01.2007
    Сообщений
    5
    Вес репутации
    63
    PavelA - Я не против поставить пароль...только не знаю как и на что собственно его ставить.И надо ли его ставить если на этом компьютере работаю только я?

    Только что запустил программу avz данного зверя она не обнаружила(что неудивительно так как он сам почему то отключился и затаился),зато появилось следующее - Подозрение на скрытую загрузку библиотек через AppInit_DLLs: ""C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" "

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от J.Mack Посмотреть сообщение
    PavelA - Я не против поставить пароль...только не знаю как и на что собственно его ставить.И надо ли его ставить если на этом компьютере работаю только я?
    То, что с чем Вы боритесь, занимается ворованием паролей (преффикс PSW). Следовательно, пароли на аську, почту, e-mule вполне возможно уже известны злоумышленникам. Пароли в этих программах также необходимо сменить.

    Пароль на вход в видовз не дает им получать свободный доступ к вашему диску.
    Этот же пароль не даст уборщикам в офисе лазать по Инету после окончания рабочего дня.

    Поставить пароль гораздо быстрее, чем написать данное сообщение.
    Надо зайти в панель управления. Выбрать "Учетные записи пользователей" и в этом меню "Сменить пароль". Желательно чтобы пароль состоял из букв и цифр. Первая д.б. буква.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) J.Mack, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Inject.aohy и блокировка "В контакте""
      От DIA_VR в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.03.2011, 21:56
    2. Ответов: 2
      Последнее сообщение: 13.08.2010, 12:53
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    4. Ответов: 5
      Последнее сообщение: 02.09.2009, 21:48
    5. подозрение на Trojan-PSW.Win32.Maran.bp
      От rwshkin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.01.2007, 16:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01166 seconds with 20 queries