Поймал троя, в папке windows taskman.exe

**Serega2S** · 01.02.2007, 05:20

Доброе утро. Сделал все по инструкции, пожалуйста помогите пока все мои аськи и мыльники и т.д. еще живы.
Я поймал трояна, запустил зараженный файл,(имхо какой-то из этих http://hххp://rapidshare.ком/files/9...h-PCL.zip.html , там прога Password recovery с кряком и какому-то файлу приклеен трой) сначала не понял в чем дело, но потом обнаружил в ппаке windows файл taskman.exe, пытался его удалить, но он все равно там появляется

Переименовал его в тхт, среди прочего там было вот это
ADVAPI32.dll
KERNEL32.dll
USER32.dll
SHELL32.dll
ntdll.dll
msvcrt.dll
Файл taskman.exe весит 15кб
Удалил зараженный файл(который запустил сначала), но ничего естественно не изменилось
При всем при этом НОД32 даже глазом не моргнул, как будто ничего и не произошло

Вот сижу как дурак удаляю taskman.exe из папки Windows и смотрю как он обратно появляется
ПОМОГИТЕ ПОЖАЛУЙСТА!
ps
Сделал все как написано в инструкции, но трой жив, выкладываю логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 01.02.2007, 09:30

По моему, вы не совсем там ищите . Те файлы , что перечислили должны быть в системе . Другое дело , если они изменены вирусом . Поэтому , если у вас есть подозрение насчёт них , можете скопировать и прислать в запароленном архиве нам , как указано в правилах .
У меня вызвали подозрение совсем другие файлы .
Выполнить скрипт в AVZ

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Downloads\Программы\SetupInstRe.exe','');
QuarantineFile('C:\Downloads\templates\template050\cheats\Anti-aequitas v1.0.rar/{RAR}/takker01.dll','');
QuarantineFile('C:\Downloads\templates\template050\cheats\Wambot DMW3 Bypass v2.zip/{ZIP}/lolv2.exe','');
QuarantineFile('C:\Downloads\templates\template050\cheats\Sources by uall.zip/{ZIP}/diablo/wrapper.dll','');
 QuarantineFile('C:\Downloads\templates\template050\cheats\Sources by uall.zip/{ZIP}/diablo/diablo.exe','');
 QuarantineFile('C:\Downloads\templates\template050\cheats\Sources by uall.zip/{ZIP}/diablo/diablo.dll','');
 QuarantineFile('C:\Downloads\Архивы\WPE pro(полное собрание)\One_Hit_kill\wpeproalpha0_9a\БЕЗ ПАЛЕВА\fmod.dll','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
 QuarantineFile('C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL','');
 QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
 QuarantineFile('\??\C:\Program Files\Multi Password Recovery2\mpr_freader.sys','');
 CreateQurantineArchive(GetAVZDirectory+'virusinfo_7732_quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта система сама перезагрузится.
После этого, в папке AVZ найдите файл virusinfo_7732_quarantine.zip и пришлите его нам по правилам(через эту форму)

**Serega2S** · 01.02.2007, 10:55

Сообщение от drongo

По моему, вы не совсем там ищите . Те файлы , что перечислили должны быть в системе . Другое дело , если они изменены вирусом . Поэтому , если у вас есть подозрение насчёт них , можете скопировать и прислать в запароленном архиве нам , как указано в правилах .
У меня вызвали подозрение совсем другие файлы .
Выполнить скрипт в AVZ

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Downloads\Программы\SetupInstRe.exe','');
QuarantineFile('C:\Downloads\templates\template050\cheats\Anti-aequitas v1.0.rar/{RAR}/takker01.dll','');
QuarantineFile('C:\Downloads\templates\template050\cheats\Wambot DMW3 Bypass v2.zip/{ZIP}/lolv2.exe','');
QuarantineFile('C:\Downloads\templates\template050\cheats\Sources by uall.zip/{ZIP}/diablo/wrapper.dll','');
 QuarantineFile('C:\Downloads\templates\template050\cheats\Sources by uall.zip/{ZIP}/diablo/diablo.exe','');
 QuarantineFile('C:\Downloads\templates\template050\cheats\Sources by uall.zip/{ZIP}/diablo/diablo.dll','');
 QuarantineFile('C:\Downloads\Архивы\WPE pro(полное собрание)\One_Hit_kill\wpeproalpha0_9a\БЕЗ ПАЛЕВА\fmod.dll','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
 QuarantineFile('C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL','');
 QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
 QuarantineFile('\??\C:\Program Files\Multi Password Recovery2\mpr_freader.sys','');
 CreateQurantineArchive(GetAVZDirectory+'virusinfo_93776_quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта система сама перезагрузится.

После этого, в папке AVZ найдите файл virusinfo_93776_quarantine.zip и пришлите его нам по правилам(через эту форму)

Я все сделал как вы просили, но...
Больше всех меня напрягает файл taskman.exe в папке Windows. Он не удаляется, тоесть удаляется но через 5 сек. обратно появляется, Так ведь не должно быть?
Вообще я нашел 3 таких файла, в Windows, Windows\system 32 ,Windows\system 32\dllcach.
Так должно быть и у меня параноя или taskman.exe должен быть только в папке Windows\system 32?
Те файлы что у вас вызвали подозрение за папки (template050) ни когда не запусказилсь. Началась суматоха эта после того как я запустил Multi Password Recovery2, но я эту папку удалил (правда файлы оттуда я запускал).
pagepromoterbar это плагин для firefox, так что мы не там ищем.
Может быть вам прислать taskman.exe? Или ту программу на которую я думаю что она меня заразила?

Geser · 01.02.2007, 11:07

TASKMAN.EXE системный файл. Удалять его не советую. А восстанавливает его сама Винда, функция защиты системных файлов.

**PavelA** · 01.02.2007, 11:17

Программку выложи в соответствии с приложением 2 в архиве с паролем.

**Serega2S** · 01.02.2007, 11:30

Сообщение от PavelA

Программку выложи в соответствии с приложением 2 в архиве с паролем.

Выложил.

**PavelA** · 01.02.2007, 11:52

Анализ на virustotal говорит, что этот файл вот -
CAT-QuickHeal 9.00 01.31.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.01.2007 no virus found
DrWeb 4.33 02.01.2007 Trojan.PWS.Multi
eSafe 7.0.14.0 01.31.2007 no virus found
eTrust-InoculateIT 30.4.3361 01.31.2007 no virus found
eTrust-Vet 30.4.3361 01.31.2007 no virus found
Ewido 4.0 01.31.2007 no virus found
Fortinet 2.85.0.0 02.01.2007 HackerTool/MPR
F-Prot 4.2.1.29 02.01.2007 no virus found
Ikarus T3.1.0.27 02.01.2007 not-a-virus:AdWare.Win32.NewWeb.i
Kaspersky 4.0.2.24 02.01.2007 not-a-virus

SWTool.Win32.MPR.015

Скорее всего, антивирусник ругается на нее, как на хакерскую примочку.
Так что, пароли похоже никто не воровал. Не забудь только прислать то, что Geser просил.

**Serega2S** · 01.02.2007, 12:31

Все нормально, просто я перебдел, говоря по русски - параноик.
Чему я безумно рад!
То файло в которых были вирусы никогда не запускалис. А Multi Password Recovery чистый. И что меня замкнуло что в windows не должно быть taskman.exe не знаю... На другом форуме мне в первом же сообщении паренек сказал что у него тоже taskman.exe в виндовс, а я значения не придал. Короче кончаю флудить, спасибо большое тем кто помог, если Вам нечего добавиьт то тему можно закрывать.

ps
Вспомнил что меня замкнуло, набрал в гугле taskman.exe и там в первом же дескрипшене было написано, taskman.exe должен быьт в систем 32, если где-от в другом месте - значит это зло.

Поймал троя, в папке windows taskman.exe (заявка № 7732)

Опции темы

Поймал троя, в папке windows taskman.exe

Похожие темы

Windows 7 x64. Подозрительные файлы в папке C:\Windows\System32\Filt\tmp.

При загрузке Windows в папке C:\WINDOWS\Temp появляются ***.tmp файлы

Вирус в папке WINDOWS

Подозрение на троячики!

startdrv.exe в папке Windows/Temp

Ваши права в разделе