Показано с 1 по 11 из 11.

Троян, ворующий пароли из Total Commander (заявка № 85397)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2010
    Сообщений
    35
    Вес репутации
    27

    Thumbs up Троян, ворующий пароли из Total Commander

    Приветствую, уважаемые форумчане!
    Произошла такая неприятность - украли пароли от FTP сайтов из Total Commander'а. Проверился Avast'ом и CureIt, далее всё по инструкции, выкладываю логи.
    Что мне делать дальше?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O4 - HKCU\..\Policies\Explorer\Run: [System Panel] C:\WINDOWS\system32\syspanel32.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\mute2x.sys','');  
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи + сделайте лог МВАМ

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2010
    Сообщений
    35
    Вес репутации
    27
    Прикрепляю, карантин загрузил.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Удалите в МВАМ -

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\focus.eprotocol (Trojan.BHO) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\Documents and Settings\Пользователь\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\ProgDVB\Loader.exe','');
     QuarantineFile('D:\Program Files\phunter\bin\phunter.exe','');
     QuarantineFile('C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  6. #5
    Junior Member Репутация
    Регистрация
    14.08.2010
    Сообщений
    35
    Вес репутации
    27
    Карантин загрузил

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    У меня к Вам вопрос по файлам -

    D:\Program Files\phunter\bin\phunter.exe

    C:\Program Files\ProgDVB\Loader.exe - это вроде что-то со спутниковым ТВ связано

    C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll

    Что Вам о них известно?

  8. #7
    Junior Member Репутация
    Регистрация
    14.08.2010
    Сообщений
    35
    Вес репутации
    27
    D:\Program Files\phunter\bin\phunter.exe
    это было приложение pHunter, для обнаружения руткитов. Последние несколько месяцев почему-то не работает - вылетает с ошибкой при запуске;
    C:\Program Files\ProgDVB\Loader.exe
    это кряк для ProgDVB (просмотр спут. ТВ), тоже работает как-то криво;
    C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll
    это VST-синтезатор, стоит с 2008 года, работает отлично, но всё это время на него через раз ругаются всевозможные программы защиты. Троянской активности от его имени вроде не наблюдается.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Тогда больше ничего плохого не вижу. Нужно поменять все пароли.

    Добавлено через 25 минут

    Настоятельно рекомендуется обновить -

    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3

    - Так же обновите C:\Program Files\Adobe\Acrobat 7.0 с официального сайта
    Последний раз редактировалось olejah; 14.08.2010 в 23:36. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    14.08.2010
    Сообщений
    35
    Вес репутации
    27
    Спасибо Вам за помощь.
    Еще вопрос - что это за "обновление windows для удаления вредоносных программ"? Оно желательно или не очень?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Как минимум не повредит, это антивирусный сканер от MS, выпускается ежемесячно как обновление Windows, отрабатывает один раз после загрузки и успокаивается.
    Емнип, будет потом лежать в system32 под именем MRT.exe

    Когда была эпидемия Kido, эта штука нам здорово помогла: прописали в домене для всех компьютеров его выполнение при загрузке, побила тогда этих троянов немерено.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) SindBad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не открываются файлы из total commander и bat
      От aolt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.10.2011, 10:09
    2. Проблемы с Total Commander
      От Arfist в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 05.07.2011, 20:28
    3. Проблема c Total Commander
      От EvVikGl в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.06.2011, 08:08
    4. Не запускается regedit, cmd, total commander
      От doctor_1 в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 11.05.2009, 15:36
    5. Скрытый троян ворующий пароли
      От Olezh в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.02.2009, 09:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01100 seconds with 17 queries