Показать полную графическую версию : Трояны - [Архив]
Страниц :
1
2
3
4
5
6
7
8
9
10
11
[
12]
13
14
15
16
17
Brandmauser
18-05-2007, 23:08
windsurfer Файрвол - Comodo Firewall (бесплатный) или Lavasoft Personal Firewall (платный). Всё ИМХО Оба (по очереди) стояли в связке с NOD 32.Конфликтов не наблюдалось.
Антивирус и ПСЭ - это тока часть защиты, если система уязвима, то они могут реагировать уже на последствия вторжения, а не предотвращать его. Так что об обновлениях ОС, браузеров, почтовых и IM клиентах и ассоциированных приложений (WMP, PDR-reader, winamp, офисное ПО) забывать тоже не следует (конечно и без них вероятность заражегния сильно уменьшается, однако останавливаться тока на этом не стоит).
Ты не объяснил почему не любишь Аутпост, что ждешь от ПСЭ, поэтому аргументированно что-то подсказать - довольно сложно. Из бесплатных и максимально функциональных Comodo - щас самый лучший ИМХО. С меньшим функционалом есть еще различные малоресурсоемкие пакетные фильтры (см. тему необходим лёгкий сетевой экран (http://forum.oszone.net/thread-84808.html)).
Кажеться батенька у вас был руткит со способностью слать спам письм или обеспечивал такую возможность другим вирям. Вам нужен контроль за реестром. Проактивка вам в помощь. Хороший эвристик у нода и у каспера. Но у нода нет поведенческого блокиратора, который анализирует активность, поведение, уже запущенных процессов, в т.ч и скрытых. А так же контролит почтовые проги по 3 протоколам и грит, мол, от вашего имени шлёться письмо такой то прогой. Что делать. У меня такое раз в месяц а то и чаще бывает. Пока мои други и подруги на письма со спамом от меня пока не жаловались. + ко всему касп неплохо проверяет web-трафан. Даже недаёт загрузиться в комп заразе. А дальше если что действует рекативная сигнатурная защита, а если она непропалила гадство, то в ход как раз идёт проактивная защита, т.е блокиратор по поведению или эвристическ анализатор, который анализирует ещё незапущеные приложения.
Guard антивирусной программы AntiVir PersonalEdition Classic 7.0 в поцессе работы системы XP SP2 переодически вылавливает (на дню по 2-3 раза) троян TR/Agent.VW.5 и указывает его местоположение, например, I:\SystemVolumeInformation\_restore{7E832728-D228-4B1E-AC25-C15A95FD70F1}\RP44\A0036450.exe.
A0036450.exe удаляю.
Через некоторое время сообщение повторяется, но с новым именем, например, I:\SystemVolumeInformation\_restore{7E832728-D228-4B1E-AC25-C15A95FD70F1}\RP44\A0038989.exe.
Удаляю A0038989.exe и через некоторое время появляется сообщение о наличии этого же трояна.
Проверил различными соедствами весь компьютер, но местоположение TR/Agent.VW.5 не обнаруживается.
Поискал об этом трояне в Интернете и на сайте производителя
http://www.avira.com/de/threats/section/vdfhistory/vdf_no/6.36.00.85/6.36.00.85.html,
но толком ничего не нашел. Есть лишь упоминание о трояне, но отсутсвует его описание.
Как выжить троян TR/Agent.VW.5 и что от него можно ожидать?
Выключи восстановление системы на всех дисках. Перегрузись и включи обратно. Лучше оставить восстановление системы только на системном диске.
Выключи восстановление системы на всех дисках. Перегрузись и включи обратно. Лучше оставить восстановление системы только на системном диске.
Проделал все вышеуказанное. Пока все нормально. Посмотрим, как будет дальше ...
По-видимому, проблема разрешилась ...
Троян перестал напоминать о своем присутствии.
Тут все просто. Антивирус может читать в точках восстановления. Запись в этих папках запрещена системой. Поэтому постоянный детект заразы. При отключении Восстановления системы папки удаляет сама система. А вместе с ними и заразу.
В принципе этот троян был заархивирован системой, только и всего. Он никак не проявлял себя. Но до тех пор, пока ты не решишь откатиться. И то не факт, что он возродится. Может это его какая-нибудь часть.
VladimirB
14-07-2007, 14:23
Для полной гарантии проверьтесь из-под чистой системы
Как вариант вместо установки чистой системы (охота была :)) в антивирусе Касперского есть возможность создания
загрузочного диска на основе BartPE с интегрированным Касперским.
Для этого нужен BartPE builder, сам Касперский (у меня 6-я версия) и последние базы оного.
Делаешь образ и пишешь на CD-RW. Удобно брать с собой для проверки.
Через пару недель делаешь новый образ с новыми базами и пишешь на этот же СD-RW.
VladimirB
15-07-2007, 19:26
Severny
Я и имел ввиду диск спасения или соответствующий софт (флешка) от Dr Web
Severny
Только лучше не через пару недель, а каждый раз перед проверкой делать
Здравствуте уважаемые форумчане!
На моем компе завелся подлый червь, который отправляет почту в фоновом режиме. Обнаружил я его так:
Последние время, заметил что иногда у меня очень сильно притормаживает инет, то еть падает скорость открытия страниц и закачки. А также когда я ничего не использую, все равно тратится трафик. У меня стоит NOD32 с последними обновлениями. При полной проверки системы, он ничего не обнаружил! Вчера поставил Norton Internet Security 2007. В нем есть и фаервол и антивирус и всякая прочая фигня... И когда я в очередной раз зашел в инет, рядом с чисами начали появлятся много конвертиков. Их проверял Norton (Norton e-mail Scanner). Значит с моего компа отправляются e-mailЫ! Сделал полную проверку Нортоном (без обновленной базы, триальная версия) - результат тот же что и с Нодом. Фаерволы нортона и винды молчат как рыбы!
Кстате, установил Adware Lavasoft - ничего не нашел!!!
Помогите найти этот проклятый вирус!!!
З.Ы. Успользую Bat для работы с почтой!!!
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe
Скачай утилиту, сделай лог и выкладывай сюда.
Возможно, можно будет справиться только с ее помощью.
Если не поможет, то призовем тяжелую артиллерию в виде AVZ.
Спам-боты с использованием технологии rootkit не для того пишут, чтобы обычные антивирусы их детектили.
Вот лог который сделала програма. Запускал в тот момент когда Norton начал проверять письма!
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:16:53, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\ZGGulin\Desktop\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Pragma] C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Download &All by FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Program Files\FreshDevices\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: FreshDownload - {3AB02F0A-6C69-4896-AE41-18F1AE4C514D} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/russian/partner/rus/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9505B2C2-CE09-4DCA-AB15-8DC77763BAF5}: NameServer = 195.225.52.1,195.46.36.5
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
--
End of file - 6877 bytes
Я так понимаю, это мониторинг моей оперативной памяти. Наверное лучше было б если я все выгрузил с трея. Если надо, я сделаю. Вообще я готов на все лишь бы покончить с этим вирусом!!!
Нежелательно использовать два антивируса в системе. Удали что-нибудь. Нортон удалить предпочтительнее.
1.Скачай этот сканер и проверь системный диск в безопасном режиме.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
2. Скачай антивирус http://z-oleg.com/avz4.zip
Распакуй в отдельную папку, зайди "Файл -- обновить базы" и обнови базы.
3. Закрой все антивирусы, лишние программы, игры и т.п.
Запусти только Internet Explorer, если он не запущен.
4. Запусти AVZ."Файл"=>"Стандартные скрипты" и поставь галку напротив
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажми
"Выполнить отмеченные скрипты". Будет выполнено лечение и
исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG"
в архиве virusinfo_syscure.zip. Его надо прикрепить здесь.
:yahoo: УРА! :yahoo:
Скачал проверку от DrWeb, запустил в безопасном режиме и проверил системный диск! Вуаля!!! Нашелся ГАД! Сидел червячок в system32. Точного названия не помню, что то вроде W...S...bot.exe. Теперь все ОКи-доки!!!
Спасибо тебе огромнешее, Severny!!!
З.Ы. По-ходу, DrWeb лучше чем NOD! Наверное буду переходить на его использование!
Oldschool
29-09-2007, 18:02
Поймал трояна, он http hijackает iExplorer...
Немогу выбить эту заразу!
Оутпоста этот трой гасит при системном скане...Аvast его не видит, и Nod32 тоже.
Делал System Restore, не помогает.
я в о..уе
чем его дальше рубить?
System Failure
29-09-2007, 22:29
Процесс Иксплорером видно его в процессах? смотрим дальше с какого он места запущем, киляем процесс, удаляем его, чистим запись в реестре автостарта...
Oldschool
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe
Сделай лог и покажи здесь.
...или можно попробовать из safe mode касперским ещё.
у меня обычно выцепляет подобное.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.