[решено] Подозрение на троян в Teamviewer - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Подозрение на троян в Teamviewer (http://forum.oszone.net/showthread.php?t=197760)

Good	27-01-2011 02:25 1598042

Подозрение на троян в Teamviewer

Здравствуйте.
Возникло подозрение на троян после использования программы Teamviewer, скачанной ранее не с офсайта.
Проверил Авастом, чисто.

Вот мои логи.

Drongo

27-01-2011 15:38 1598440

Good, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\docume~1\user\locals~1\temp\mc21.tmp','');

 DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему.

, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемой после выполнения скрипта?

Good	27-01-2011 16:26 1598481

Цитата:

Цитата Drongo

Что с проблемой после выполнения скрипта? »

Файла не оказалось в temp. В карантине только 2 ini файла,

Цитата:

Цитата Drongo

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »

Page Not Found

Автоматическое обновление прошло успешно.

Вроде-бы все нормально, пока сканирую комп программой Malwarebytes Anti-Malware.

Good	27-01-2011 17:46 1598553

Лог проверки Malwarebytes Anti-Malware:

P.S.
24 янв. RUSSIAN.DLL аваст детектировал как Win32:Adware-gen. Отправил файл на проверку, в меню аваста. На следующий день, после очередного обновления баз, проверил снова файл - вирусов нет. Восстановил из карантина. Видимо, ложное срабатывание было.

Drongo

27-01-2011 20:07 1598643

Good, По логам МВАМ всё хорошо. Повторите логи утилитой RSIT и AVZ как в первом сообщении.

Good	27-01-2011 22:22 1598741

Логи

SolarSpark

28-01-2011 13:38 1599129

смотрю

SolarSpark

28-01-2011 14:04 1599155

Код:

Заблокированы настройки системы Windows Update

сами блокировали?

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\docume~1\user\locals~1\temp\mc21.tmp','');

 DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');

 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');

BC_ImportAll;

ExecuteSysClean;

BC_DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');

BC_Activate;

ExecuteRepair(6);

RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);

ExecuteRepair(8);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

логи AVZ повторите

Good	28-01-2011 19:42 1599396

Цитата:

Цитата maniy77

сами блокировали? »

Да.

Файл карантина отправил.

SolarSpark

28-01-2011 20:01 1599410

логи AVZ повторите
и напишите как самочувствие после скрипта

Good	28-01-2011 21:48 1599479

Сбросились настройки кнопок проводника. Уже вернул обратно.

скрин

В меню пуск вернулись некоторые пункты, которые я отключал. А так, в общем, все нормально.

SolarSpark

29-01-2011 11:22 1599718

в логе чисто

Деинсталлируйте Malwarebytes' Anti-Malware .

Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.
Для обновления Java Скачайте JavaRA здесь
Распакуйте, запустите, выберите "Remove Older Versions".
Подтвердите свое желание удалить старую версию Java нажав "ДА".
Закройте IE, если Вы его еще не закрыли и нажмите "OK".
После поиска и удаления Java машины программа создаст лог с отчетом.
Далее нажмите "Search For Updates"
Выберите "Update Using Sun Java's Website" и "Open Webpage"
Осталось только скачать и установить Java.
Или воспользоваться альтернативным вариантом - после удаления старой версии скачайте и установите последнюю версию с сайта производителя.
Java Runtime Environment (JRE)
Установить все возможные обновления продуктов Adobe, которые установлены на вашем компьютере или удалите их.

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- в Internet Explorer отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Arbitr

29-01-2011 19:24 1599983

Good, Скачайте "OSAM" ("OSAM" (Online Solutions Autorun Manager)). В меню драйверов правой кнопкой по mc21 и выберите "Turn Run Off", потом подтвердите перезагрузку. Прикрепите лог в формате HTML OSAM к следующему сообщению
и после перезагрузки сделайте плиз еще раз лог AVZ 3 скрипт

Good	30-01-2011 00:12 1600142

Поиском в реестре я нашел записи о mc21.tmp, которого нет в /temp, даже при просмотре скрытых системных файлов.

Вот два раздела реестра, в которых прописан путь к файлу

поиск mc21.tmp в Total Commander по всему C:\ результатов не дал. Файла нет.

погуглил
Наверное я этого паразита ловил, но, из всех перечисленных записей реестра у меня есть только те что привел выше.

Иконки .html файлов приобрели нормальный вид, кажется после установки ~~OSAM~~, нет это Opera до 11.01 обновилась. Но после нескольких перезагрузок, иконка опять слетела.

Лог OSAM прикрепил. Сейчас перезагружусь и выполню логи AVZ.

Arbitr

30-01-2011 17:39 1600537

будьте добры выполнить след скрипт

Код:

begin

 SysCleanAddFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

и сделать только 3 скрипт это virusinfo_syscure.zip
других больше не надо

Цитата:

Цитата Good

поиск mc21.tmp в Total Commander по всему C:\ результатов не дал. Файла нет. »

файла уже нет удалили... возможно и эта запись в реестре удалиться какой нить чистилкой типа ccleaner так что если есть что нить подобное перед логом сделайте...
осам удалите пожалста

Good	30-01-2011 22:08 1600703

Лог

Good	31-01-2011 16:09 1601273

По всей видимости, на данный момент с компьютером все в порядке.
Определил, из-за чего возникали сбои в работе модема при использовании программы Team Viewer, что и вызывало к меня подозрение что с программой что-то не так.
Нельзя набирать много текста в блокноте или ворде на уделенной машине. Сбой происходит после 150..200 символов, иногда больше. Это приводит к зависанию программы и сбоям в модеме (у меня так).

Всем огромное спасибо за помощь, что тратили свое время на просмотр логов. Тему можно считать решенной. Логи позже удалю, т.к. места занимают в профиле больше половины места.

Время: 15:42.