Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Trojan.Horse и Backdoor.Formador-пути избавления (http://forum.oszone.net/showthread.php?t=84847)

NGL_86 01-06-2007 17:07 593972
Trojan.Horse и Backdoor.Formador-пути избавления
 
завелись у мня два питомца: Backdoor.Formador и Trojan.Horse. на жестких дисках, на носителях съемных создают файлы copy.exe и host.exe, при однократном удалении с носителей этих файлов, носители с двух щелчков не открываются :tease:, пишет типа для того чтобы открыть диск или сменный носитель нуно найти файл copy.exe. теперь уже диски обязательно нуно открывать так-правая кнопка мыши_открыть и вуаля диск открывается (кстати после них даже на жестких дисках при нажатии правой клавиши мышки появился пункт АВТОЗАПУСК, я просто :crazy: ). сканил при помощи symantec`a и какимто троян терминатором-эффекту 0, все рано падла множится, а симантек его находит и в карантин. у мня в карантине их уже целый зоопарк-вроде 128 000 по-моему. мож кто с ними сталкивался и чем поможет.

винду заново поставить не могу-проги нужны.



и вообще люди сильно :help: , а то я с ними того :crazy:

sergey_dsv 01-06-2007 18:26 594014
возможно поможет эта программка

Severny 01-06-2007 18:27 594015
1. Запустить проводник, включить показ скрытых и системных файлов: Сервис - Свойства папки - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки".

2. Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.

3. Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи:

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.


б) Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться.

Greyman 02-06-2007 01:11 594180
Борьба с троянами, шпионскими и рекламными модулями
...включая приведенные линки...

VladimirB 02-06-2007 23:18 594398
Analysis
Once executed, this Trojan copies itself to the Windows system folder with the same file name.

It adds the following registry key in order to insure an automatic execution at every Windows startup:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"(FileName)" = "(FileName).exe"
where FileName varies in different variants, it is the same for both registry key and the actual file name without extension.

It periodically connects to a specific URL, attempting to download a file through HTTP.

It can perform various information stealing and backdoor activities, which may include any of the following:

Download and execute file
Enumerate and terminate process
Gather and send various system information
Delete files
Modify registry keys

Описание с сайта aladdin.ru

NGL_86 06-06-2007 14:55 595973
Народ мож кто сможет мне обьяснить как они работают-ну насчет copy.exe & host.exe. а также почему при двойном нажатии на локальный ресурс он ссылается на copy.exe. типа без него не могу открыть. хочу понять.

igorgn 06-06-2007 17:38 596035
NGL_86
По-моему, Severny всё правильно объяснил. Это - автозапуск. Вот он и даёт ссылку на запуск какого-нибудь файла. В вашем случае "copy.exe". Можно удаление авторанов провести и в Тотал коммандере, включив показ скрытых файлов. Я обычно с помощью него убиваю. А с помощью бесплатного сканера убиваю источники образования ранов: http://poleznosti.ru/soft/file_catal...20060419101532
Кстати, источник неплохо сидит в корзине и в файлах восстановления Винды, и с успехом восстанавливается.

Можно и другим способом сделать. Сперва поубивать автораны, после загрузиться с загрузочного диска и поубивать на всех дисках корзины и System Volume Information. После загрузки Винда их снова создаст, но без гадостей.

NGL_86 13-06-2007 14:23 598803
Цитата:
поубивать на всех дисках корзины и System Volume Information
Вот туда-то он меня и не пускает, говорит типа Используется Программой или у вас нет доступа и че эт я не знаю :tease: ,



а к стати я его вылечил, но на каждом компе по разному, где-то нуно просто реестр почистить:
1. просканил Symantec`ом-в принципе без полезно, все рано остается-он их не блокирует а просто кидает инфицированный файл в карантин и усе, виряк запускается с другого файла
2. удалил на всех дисках автозапуски, также copy.exe, host.exe и проделал вот так
Цитата:
Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи:

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.


б) Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.
Цитата:
Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.
3. Скачал сканер NOD32 и просканил систему-после него на 100% ниче не осталось.

ну эт у мня на каждой машине нуно было тот или иной пункт выполнить, а на некторых и вооще все. Вот так


Время: 11:46.

Время: 11:46.
© OSzone.net 2001-