Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрение на троян в Teamviewer

Ответить
Настройки темы
[решено] Подозрение на троян в Teamviewer

Пользователь


Сообщения: 60
Благодарности: 5

Профиль | Отправить PM | Цитировать


Изменения
Автор: Good
Дата: 31-01-2011
Здравствуйте.
Возникло подозрение на троян после использования программы Teamviewer, скачанной ранее не с офсайта.
Проверил Авастом, чисто.

Вот мои логи.

Отправлено: 02:25, 27-01-2011

 

Пользователь


Сообщения: 60
Благодарности: 5

Профиль | Отправить PM | Цитировать


Сбросились настройки кнопок проводника. Уже вернул обратно.


В меню пуск вернулись некоторые пункты, которые я отключал. А так, в общем, все нормально.

Последний раз редактировалось Good, 31-01-2011 в 20:50.


Отправлено: 21:48, 28-01-2011 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для SolarSpark

Блондинка


Сообщения: 1585
Благодарности: 382

Профиль | Отправить PM | Цитировать


в логе чисто

Деинсталлируйте Malwarebytes' Anti-Malware .

Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.
Для обновления Java Скачайте JavaRA здесь
Распакуйте, запустите, выберите "Remove Older Versions".
Подтвердите свое желание удалить старую версию Java нажав "ДА".
Закройте IE, если Вы его еще не закрыли и нажмите "OK".
После поиска и удаления Java машины программа создаст лог с отчетом.
Далее нажмите "Search For Updates"
Выберите "Update Using Sun Java's Website" и "Open Webpage"
Осталось только скачать и установить Java.
Или воспользоваться альтернативным вариантом - после удаления старой версии скачайте и установите последнюю версию с сайта производителя.
Java Runtime Environment (JRE)
Установить все возможные обновления продуктов Adobe, которые установлены на вашем компьютере или удалите их.

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- в Internet Explorer отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
Это сообщение посчитали полезным следующие участники:

Отправлено: 11:22, 29-01-2011 | #12


Ветеран


Сообщения: 522
Благодарности: 130

Профиль | Отправить PM | Цитировать


Good, Скачайте "OSAM" ("OSAM" (Online Solutions Autorun Manager)). В меню драйверов правой кнопкой по mc21 и выберите "Turn Run Off", потом подтвердите перезагрузку. Прикрепите лог в формате HTML OSAM к следующему сообщению
и после перезагрузки сделайте плиз еще раз лог AVZ 3 скрипт

-------
танки для настоящих мужчинhttp://tankionline.com#friend=625aed6c5
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее).

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:24, 29-01-2011 | #13


Пользователь


Сообщения: 60
Благодарности: 5

Профиль | Отправить PM | Цитировать


Поиском в реестре я нашел записи о mc21.tmp, которого нет в /temp, даже при просмотре скрытых системных файлов.
Вот два раздела реестра, в которых прописан путь к файлу

Код: Выделить весь код
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\\??\\C:\\DOCUME~1\\User\\LOCALS~1\\Temp\\mc21.tmp"
"DeleteFlag"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Код: Выделить весь код
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\\??\\C:\\DOCUME~1\\User\\LOCALS~1\\Temp\\mc21.tmp"
"DeleteFlag"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Что мне сделать, удалить эти записи?


поиск mc21.tmp в Total Commander по всему C:\ результатов не дал. Файла нет.

погуглил
Наверное я этого паразита ловил, но, из всех перечисленных записей реестра у меня есть только те что привел выше.

Иконки .html файлов приобрели нормальный вид, кажется после установки OSAM, нет это Opera до 11.01 обновилась. Но после нескольких перезагрузок, иконка опять слетела.

Лог OSAM прикрепил. Сейчас перезагружусь и выполню логи AVZ.

Последний раз редактировалось Good, 31-01-2011 в 20:50.


Отправлено: 00:12, 30-01-2011 | #14


Ветеран


Сообщения: 522
Благодарности: 130

Профиль | Отправить PM | Цитировать


будьте добры выполнить след скрипт
Код: Выделить весь код
begin
 SysCleanAddFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и сделать только 3 скрипт это virusinfo_syscure.zip
других больше не надо
Цитата Good:
поиск mc21.tmp в Total Commander по всему C:\ результатов не дал. Файла нет. »
файла уже нет удалили... возможно и эта запись в реестре удалиться какой нить чистилкой типа ccleaner так что если есть что нить подобное перед логом сделайте...
осам удалите пожалста

-------
танки для настоящих мужчинhttp://tankionline.com#friend=625aed6c5
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее).

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:39, 30-01-2011 | #15


Пользователь


Сообщения: 60
Благодарности: 5

Профиль | Отправить PM | Цитировать


Лог

Последний раз редактировалось Good, 31-01-2011 в 20:50.


Отправлено: 22:08, 30-01-2011 | #16


Пользователь


Сообщения: 60
Благодарности: 5

Профиль | Отправить PM | Цитировать


По всей видимости, на данный момент с компьютером все в порядке.
Определил, из-за чего возникали сбои в работе модема при использовании программы Team Viewer, что и вызывало к меня подозрение что с программой что-то не так.
Нельзя набирать много текста в блокноте или ворде на уделенной машине. Сбой происходит после 150..200 символов, иногда больше. Это приводит к зависанию программы и сбоям в модеме (у меня так).

Всем огромное спасибо за помощь, что тратили свое время на просмотр логов. Тему можно считать решенной. Логи позже удалю, т.к. места занимают в профиле больше половины места.

Последний раз редактировалось Good, 31-01-2011 в 17:41.


Отправлено: 16:09, 31-01-2011 | #17



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Подозрение на троян в Teamviewer

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Система - TeamViewer Blast Программное обеспечение Windows 34 12-02-2022 20:24
Интернет - [addon] TeamViewer jameszero Наборы обновлений для Windows XP/2003/Windows 7 54 26-01-2015 01:55
Вопрос - Троян на основе программы Teamviewer Frolix Защита компьютерных систем 6 05-02-2011 22:58
есть подозрение на троян... свой антивирус ESET 4.0 не находит ms-askar Лечение систем от вредоносных программ 2 26-01-2010 21:08
TeamViewer 5.0.7255 Beta OSZone Software Новости программного обеспечения 0 17-11-2009 20:30




 
Переход