Показано с 1 по 6 из 6.

Помогите! Подозреваю, прокси-троян. (заявка № 8229)

  1. #1
    Junior Member Репутация
    Регистрация
    02.03.2007
    Сообщений
    3
    Вес репутации
    40

    Помогите! Подозреваю, прокси-троян.

    Дело обстоит следующим образом:

    В процессе общения посредством ICQ (какой icq-клиент - не важно, пробовал разные) собеседнику присылается сообщение, содержащее ссылку и смайлик:

    Ещё стоит заметить, что ссылка эта отсылается только в самом первом (!) сообщении, отправленным мною. Далее же в процессе диалога ничего необычного, вроде бы, нет.

    Подобное замечено при отсылке письма. Пользуюсь программой The Bat. Отсылаю письмо, в "Отправленных" сохраняется копия, ссылки в ней нет. Получателю же приходит письмо, и в конце добавлена та самая ссылка с тем самым смайликом.

    Такой же эффект при отсылке письма через Webmail, то бишь с сайта почтового сервиса.

    Я так подозреваю, что это некий "прокси-троян". Но никак не могу его вычислить. "Лечение" переустановкой винды не предлагать - задействую его только в крайнем случае.

    На той самой страничке (через которую я и выхватил эту гадость, как я понимаю) находится "письмо счастье" и ActiveX компонент Windows Media Player.

    Внимательно изучив все процессы, видимые в диспетчере задач, наткнулся на некий "wdfmgr.exe", который показался мне подозрительным.
    Обратившись к поисковику, нашёл следующее:
    wdfmgr.exe (Windows User Mode Driver Manager ) – процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.

    В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.
    и вспомнил, что на страничке с "письмом счастья" был компонент Windows Media player. Может здесь "собака зарыта"?
    Вот html-код Windows Media player'a со странички:
    <fieldset style="width: 200px;">
    <legend>
    <img src="view.php_files/clef.gif" border="0" height="26" width="26">
    </legend>
    <br>
    <object id="NSPlay" classid="CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95" codebase="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=5,1,52,701" standby="Loading Microsoft Windows Media Player components..." type="application/x-oleobject" height="26" width="150">
    <param name="FileName" value="http://www.skypomania.ru/uploads/work/672.mp3">
    <param name="ShowControls" value="1">
    <param name="ShowPositionControls" value="0">
    <param name="ShowAudioControls" value="1">
    <param name="ShowTracker" value="0">
    <param name="ShowDisplay" value="0">
    <param name="ShowStatusBar" value="0">
    <param name="ShowGoToBar" value="0">
    <param name="ShowCaptioning" value="0">
    <param name="AutoStart" value="0">
    <param name="AutoSize" value="0">
    <param name="PlayCount" value="1000">
    <embed type="application/x-mplayer2" pluginspage="http://www.microsoft.com/windows/mediaplayer/en/default.asp" filename="http://www.skypomania.ru/uploads/work/672.mp3" src="view.php_files/672.mp3" name="NSPlay" showcontrols="1" showpositioncontrols="0" showaudiocontrols="1" showtracker="0" showdisplay="0" showstatusbar="0" showgotobar="0" showcaptioning="0" autostart="1" autosize="0" playcount="1000" height="26" width="150">

    </object>
    </fieldset>
    похоже, ничего подозрительного нет (хотя я могу ошибаться). Но тогда что?
    Удаление процесса "wdfmgr.exe" не помогло. Также удалил его из автозапуска служб в "Администрировании компьютера". - Не помогло.

    Скачал утилитку Анти Spyware (http://www.antispy.ru/download.shtml) - выявил какую-то гадость, удалил. Перезагрузил компьютер, на всякий случай, с помощью кнопки Reset. После перезагрузки никакого эффекта. Ссылка также "незаметно для меня" цепляется к каждому отправляемому сообщению по ICQ, по почте.

    Пробовал также применять AVZ (версию и базы перед проверкой обновил) и AVP (также, базы обновлены) - ничего подозрительного.

    В общем, прямо полтергейст какой-то. ПОМОГИТЕ!

    С ув., Дмитрий.

    p.s. Все проверки утилитками и антивирусами проводил как в обычном режиме, так и в безопасном.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    366
    http://virusinfo.info/showthread.php?t=1235 выполните правила..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от DmitriyGr Посмотреть сообщение
    Подобное замечено при отсылке письма. Пользуюсь программой The Bat. Отсылаю письмо, в "Отправленных" сохраняется копия, ссылки в ней нет. Получателю же приходит письмо, и в конце добавлена та самая ссылка с тем самым смайликом.
    Такой же эффект при отсылке письма через Webmail, то бишь с сайта почтового сервиса.
    Проверьте "Отправленные" в web-почте. Поскольку это живёт на стороннем сервере, то там сохраняется ровно то, что отправлено (будем считать, что сервис не ломали). Если в сохранённой копии ничего нет, то проблема не у вас.

    Да, а получатель один и тот же или их много разных?

  5. #4
    Junior Member Репутация
    Регистрация
    02.03.2007
    Сообщений
    3
    Вес репутации
    40
    Проверьте "Отправленные" в web-почте. Поскольку это живёт на стороннем сервере, то там сохраняется ровно то, что отправлено (будем считать, что сервис не ломали). Если в сохранённой копии ничего нет, то проблема не у вас.
    Попробовал сейчас отправить письмо сам себе. И в "Отправленных", и во "Входящих" - письма со ссылками в конце добавленными.
    При отсылке по SMTP, используя The Bat, ссылки в "Отправленных" нет, а получаю письмо уже со ссылкой.
    Дело не в почте, я уверен. Ибо почему тогда по ICQ то же самое? хттп://ввв.lovepostcards.net/288100 )))))))))))))))
    Последний раз редактировалось Зайцев Олег; 03.03.2007 в 18:36. Причина: Публикация ссылок

  6. #5
    Junior Member Репутация
    Регистрация
    02.03.2007
    Сообщений
    3
    Вес репутации
    40
    Во! Уже и на форуме, в предыдущем моём ответе, ссылка добавилась! :-( хттп://ввв.lovepostcards.net/288100 )))))))))))))))
    Последний раз редактировалось Зайцев Олег; 03.03.2007 в 18:37.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Вижу. Предварительный диагноз: зверь у вас. Теперь срочно выполняйте правила.

    P.S. Олег, а кто там по ссылке?

  • Уважаемый(ая) DmitriyGr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозреваю что есть троян
      От AndreySh в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.05.2010, 20:36
    2. Ответов: 1
      Последнее сообщение: 17.08.2009, 09:42
    3. Подозреваю троян
      От fuwaneko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 08:19
    4. Подозреваю, что подцепил троянчик
      От SuperFly в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:41
    5. троян прокси
      От fotorama в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.09.2007, 12:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01566 seconds with 16 queries