46 replies to this topic

[Dick]

У меня две ОСи, одна (первая) подключена к Инету.
АдАвер в 1 ОСи поймал «Трояна», два объекта (см.ниже) - но удалить не может, предлагает удалить их после перезагрузки, но и после перезагрузки повторяется все по-новой.
Идет постоянная скачка и закачка на мой РС (приличный трафик!)
АдАвер прошел последние обновления через Инет.

Захожу в другую ОСь, АдАвер оттуда удаляет в 1 ОСи эти файлы.
Иду в 1 ОСь – они опять на месте.

Из второй ОСи просто ручками удаляю файл C:\WINDOWS\comdlj32.dll в 1 ОСи (в 1 ОСи он ручками не удаляется), иду в 1 ОСь – он опять на месте.
Короче, где-то прописались Трояны и выскакивают….
М.б. в C:\System Volume Information\_restore{9C07CA5D-E066-4B3C-8694-0797F7EEF8CF}\RP445\.... но зайти туда не могу, System Volume Information не открывается даже из Второй ОСи.

Восстановить систему с более ранней точки не могу, Троян вырубил восстановление.

КАК ВЫТРАВИТЬ ЭТОГО ТРОЯНА???


Win32.Trojan.Spambot Object Recognized!
Type : File
Data : A0459679.dll
TAC Rating : 10
Category : Virus
Comment :
Object : C:\System Volume Information\_restore{9C07CA5D-E066-4B3C-8694-0797F7EEF8CF}\RP445\



Win32.Trojan.Spambot Object Recognized!
Type : File
Data : comdlj32.dll
TAC Rating : 10
Category : Virus
Comment :
Object : C:\WINDOWS\



C: Drive supports Alternate Data Streams.
Scanning and Enumerating ADS...

[Bek]

А процессы в диспетчере задач смотрел? Кинь скрин...

[dvvideo]

эффективная прога по поиску и лечению червей и троянов "Антивирусная утилита AVZ вер. 4.20"
-офф. сайт _http://z-oleg.com/, - только не забудь сразу обновить базы проги кнопкой "файл" -> "обновление баз"
прога полностью бесплатная - страница программы _http://z-oleg.com/secur/avz/download.php ссылка для скачки _http://z-oleg.com/avz4.zip - обновления выходят постоянно - желательно обновляться почаще, так же позволяет восстановить работоспособность компа если уже вирусняк его попортил.

Edited by dvvideo, 28 Sep 2006 - 16:14.

[m00nk]

Из второй ОСи просто ручками удаляю файл C:\WINDOWS\comdlj32.dll в 1 ОСи (в 1 ОСи он ручками не удаляется), иду в 1 ОСь – он опять на месте.

Была у меня похожая беда. Ща опишу как боролся. То, что я предлагаю - это не лечение,а скорее блокировка.

Просто у тебя на машине сидит "пакет" - что-то типа архива в ктором упакован вирус. Этот пакет видимо авара опознать не может. Чтобы его найти проверь что имеено у тебя запускается из реестра.

А пока сделай так:

Во второй оси сотри файл C:\WINDOWS\comdlj32.dll и создай вместо него пустой с таким же именем (хоть в блокноте). После чего войди в его свойства и ПОЛНОСТЬЮ ЗАПРЕТИ К НЕМУ ДОСТУП. В результате пакет даже запустившись уже не сможет создать этот файл. Соответственно пакет жив останется, а вирус запускаться не будет.

А сам пакет можно найти по следующим приметам:
1) размер как правило не более 300 кб, хотя бывают и исключения
2) в 95% случаев упакован UPX
3) имеет расщишение библиотеки или программы (exe, dll, acx и т.д.)
4) ВАЖНО!!!! Не имеет данных о производителе и версии. Это в принципе самый важный аргумент, т.к. любые программы/библиотеки ВСЕГДА содержат подобную информацию.
5) обычно размещается в папаках windows или windows/system32
6) обычно имееи имя похожее на имена системных файлов, но с добавлением или изменением одной-двух букв. Типа ssystem32.dll или svshost.dll вместо svchost.dll

Удачи!

[Алексей Ф]

...Во второй оси сотри файл C:\WINDOWS\comdlj32.dll и создай вместо него пустой с таким же именем (хоть в блокноте)...

"Нет у них методов против Кости Сапрыкина.."

[YNUS]

КАК ВЫТРАВИТЬ трояна? Попробуй установить панду.

[m00nk]

"Нет у них методов против Кости Сапрыкина.."

У человека беда! Ему помощь требуется! А вы тут зубы скалите!!!!

[dvvideo]

Мы сегодня с Диком по пытались побороть эту заразу часа 3 наверное или 4 на телефоне провисели. В результате AVZ нашла и удалила порядка 40 троянов, червей и прокси серверов на его компе. В результате - трафик вроде не грузится. АВЗ уже вредоносных файлов не находит, но, - при запуске компа, секунде на третьей наверное, - тогда, когда что-то всё еще запускается в автозапуске - комп перезагружается без каких-либо сообщений. При этом, - при запуске "последней удачной конфигурации" - всё нормально, - но при повторном включени или перезагрузке - запускается не эта "последняя удачная конф. ", в которой он только что нормально работал, а та, которая при запуске вылетает.
Через встроенные средства АВЗ убирали всё лишнее из автозапуска и из автозапуска в реестре - пофиг. вроде. , у него вообщето есть двухмесячной давности образ диска - если что - восстановится с него - но это не желательно как я понял. Вобщем - мы с ним на связи будем.

[Lucky1978]

Чтобы зайти в папку System Volume Information, нужно просто изменить права доступа на эту папку и все, находящиеся в ней.
Нужно в Проводнике в Сервис -> Свойства папки -> Вид снять галку с Использовать простой общий доступ к папкам.
Затем открыть свойства System Volume Information и в закладке Безопасность для Администраторов поставить Полный доступ, а затем нажать конпку Дополнительно и, отметив галку Заменить разрешения для... нажать OK.
После этого с этой папкой можно делать все то же, что и с остальными.

Edited by Lucky1978, 28 Sep 2006 - 20:16.

[Dick]

Опять я в сети.... подключение пропало...
Восстановился Акронисом из старого образа, все чики-чики!

Спасибо всем, особенно, Саше Жукову (dvvideo), он все верно описал, что было.

Вот только маленькая цитата из отчета проги "Антивирусная утилита AVZ вер. 4.20"



..............Trojan-Proxy.Win32.Small.bo успешно удален
C:\WINDOWS\system32\testtestt.exe >>>>> Trojan-Downloader.Win32.Small.cyb успешно удален
C:\WINDOWS\system32\vxgame1.exe >>>>> Trojan-Dropper.Win32.Agent.apb успешно удален
C:\WINDOWS\system32\vxgame2.exe >>>>> Trojan-Downloader.Win32.Small.drh успешно удален
C:\WINDOWS\system32\vxgame3.exe >>>>> Trojan-Downloader.Win32.Small.dmk успешно удален
C:\WINDOWS\system32\vxgame4.exe >>>>> Packed.Win32.PePatch.dw успешно удален
C:\WINDOWS\system32\vxgame6.exe >>>>> Trojan-Proxy.Win32.Small.bo успешно удален

..........................

Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 86488, извлечено из архивов: 67271, найдено вредоносных программ 40

Такое впервые, раньше АдАвер справлялся влегкую...

Маленький шок, и весь день насмарку.

(тему сохраню, много полезного!)

[RANET]

Сергей, а не пробовал просто поставить файервол?
Тогда ни одна мышь не проскользнёт ...

[dvvideo]

RANET прав - фаервол - полезная штука. Но Дик тоже правильно изначально поступил - поставил две винды - одну для Нэта и всего, а вторую чисто под монтажку - очень правильный ход, - по этому, как говориться, и обошелся "малой кровью", благодаря также и предусмотрительно созданному образу диска - как последнему рубежу обороны.
Дик, а каталог с зараженными файлами в архиве с паролем virus или пришли мне или сразу Олегу Зайцеву (скажещь - от меня, - мы с ним хорошо знакомы - он кстати тоже интересуется видеомонтажем) - ссылка для отправки ему зараженных файлов - _http://z-oleg.com/secur/avz/support.php

[YNUS]

Сергей Дик, какой антивирь у тебя стоял в момент вирусной атаки?

[Dick]

Вот она ИНФА о заразе!
http://www.securitylab.ru/virus/271807.php

Антивирь не ставил ( сильно грузил РС), долгое время обходился АдАвером, он хорошо распознавал трояны и удалял их... кроме последнего раза...
Но что интересно, сечас АдАвер обнаружил ТОЛЬКО 2 вредоносных объекта (и не смог удалить!), а прога по наводке (dvvideo) Саши Жукова аж 40, и снесла!

"Сергей, а не пробовал просто поставить файервол? "

А какой рекомендуете?

(Еще раз всем спасибо за участие!)

Edited by Дик, 29 Sep 2006 - 04:08.

[YNUS]

У меня регистрация на Pand-у 3 недели как кончилась и чтоб обезопаситься установил временно 6-го каспера "интернет секюрити" (сильно расхваливали), позавчера хапнул трояна в осле. Снести не смог как и ты, установил панду та его сразу схавала.

ЗЫ. Панда сильно тормозит систему в момент запуска но зато, почти за год её юзанья я не поймал ничего (!) Фаервол в комплекте, пандовский.

[Dick]

Спасиб, установил, она (ПАНДА) сходу нашла (блин, ведь только восстановился из Акрониса) 5 объектов....

Сейчас ОСь здоровая!

АдАвер и AVZ (от Саши Жукова) показал ноль объектов!

Edited by Дик, 29 Sep 2006 - 22:12.

[RANET]

А какой рекомендуете?

Я давно пользуюсь ZoneAlarm Pro, меня устраивает.
И с Касперским проблем нет. Может потому, что запускаю его только на время вылазки в Интернет?

[m00nk]

Три года работал в интернет-клубе. Естественно посетители шарятся по всей сети: и порно и варез и еще бог знает что.
Так вот, там стояла WinXP Pro SP1 + OutPost. Ни АдАвари ни антивирусов и близко не было. И за три года всего 4 случая заражения троянами и дозвонщиками. И все случаи по вине посетителей - выкачивали проги для халявного интернета и запускали их на машинах - деньги пытались сэкономить.

Сейчас из дому хожу в сеть под одним Аутпостом и проблем нет.

[YNUS]

посетители шарятся по всей сети

Неа, в осло и пи2пи сетях ты бы им неразрешил

[Newdjeen]

А-ля-ля-ля-ля-ля-ля.......
Дохтура вызывали?

Из второй ОСи просто ручками удаляю файл C:\WINDOWS\comdlj32.dll в 1 ОСи (в 1 ОСи он ручками не удаляется), иду в 1 ОСь – он опять на месте.

Дик, помнишь ты (помоему) когда-то у меня интересовались отключением восстановления системы?
ну дык вот - сикока ты его не стирай, а восстановление сиситемы все еще работает

Прочитал многа способов лечения... дело в том, что они мало чем помогут - ну удалите вы файло, ну подлечите... вот токма после перезагрузки у нас запустится восстановление системы.

Бла-бла-бла, воду лить не буду, да и много чего писать лень
Итак - нам понадобятся
Webroot Spy Sweeper (усе адвары по сравнению с ним туфта полная) - уже доступна версия 5.0, но я всерано пользую Spy Sweeper 3.2 - итак, Spy Sweeper яваляется самай лучшей на сегодняшний день Anti-Spyware программой, для борьбы с все более и более интеллектуальными spyware программами, включая как недавно идентифицированные так и смешанные угрозы (смешанные угроза - это когда две или больше spyware программы объединенны в одну, что заранее затрудняет ее своевременное обнаружение - оч многие виши адевареры и антяспайвареры таких шпиёнов вобще не распознают).
Spy Sweeper обнаруживает и удаляет все формы Adware и Spyware, включая Trojans, Keyloggers, системные мониторов и прочего. Spy Sweeper при поиске сканирует как записи в системном реестре, так и папки в поисках библиотек, характерных для spyware, защищает домашнюю страницу MSIE от несанкционированной смены, предотвращает без вашего ведома внесение любых и-нет страниц в избранное, смнену настроек и-нет браузера, мониторит автозагрузку, и прочее, и прочее, и прочее...
вобсчем сидит и бдит - в избранное страничку добавили, так он тут же вылазить и кричит - мол, ты сам это добавил али как? а в автозапучск вот эту фигню сам прописал, или программа какая себя умнее нас считает? ну и все в таком же духе - сидит себе в трее и бдит (я бдю и бдя моя страшна)
Антивирус - да не простой, а тот, что может залазить в любые, даже самые спецзакрытые файлы и папки (например ту же System Volum Information в которой и хранятся точки восстановления системы). лично я использую NOD32 - запускаю сканенер с расширенной эвристикой и сканированием всех потоков

Переходим к непосредственному лечению
1) отключаем восстановление системы
2) делаем апдейт антивирусных баз
3) делаем апдейт антиспайварных баз
4) стираем историю интернета, а так же все временные файлы как интернета, так и операционки
5) перезагружаемся в безопасном режиме
6) лечимся антиспай+антивирь
7) закончив лечение ребутаемся в нормальном режиме
8) включаем восстановление системы
9) радуемся жизни

*Примечание - в момент очитски антивирем я выбираю опцию "удалять зараженные файлы" - имхо, лучше все перекачать, нежели держать подозрительные объекты, кроме всего прочего - после удаления файлов в system32не перезагружаясь рекомендую проверить целостность системных файлов и папок командой sfc /scannow.

Ваш доктор Newdjeen

[YNUS]

Джин, круто

[Dick]

Сколько достойных прог, у каждой свой постоянный юзер...
Интересные приемы борьбы...
Спасибо всем! Всё попробую...

Вот только что прошелся по РС "ПАНДОЙ", и она нашла в системе три вируса и 118 в файлах чего-то там!
Проги-шпиёны, дозвонщики... мать честная!
А ведь только вчера была абсолютная чистота.

(С сыном что ли поговорить с ремнем в руках?)


Вот сайтец интересный
http://www.pandasoftware.com/com/virus_info/default?

[Bek]

Руссификатор для Spy Sweeper .

[3la3ku]

Ваш доктор Newdjeen

А не мог бы доктор подбросить вылеченную програмку,помнится NOD 32 от Джина и по сей день прерасно трудится

[Newdjeen]

Мог бы
где смотреть вы вкурсе

*кстати насчет NOD'а - не давайте ему обновиться программно, а то придеся по новой патчить

[Dick]

Странные дела, у меня стояли несколько антивирев (avz4 , Panda.Antivirus.+.Firewall.2007, Spy Sweeper 4.0.3.405, AdAwar).... воткнул еще NOD32RUS2.50.26...

после этого Инет отрубился, и напрочь пропали иконки с рабочего стола, т.е. стол есть, а жать нечего.... и из "пуска" проги не запускаются.....
Интересное состояние испытал....

Короче, многие антивири антагонисты.... ИМХО.


(Чтоб я делал без Акрониса....)

Edited by Дик, 01 Oct 2006 - 05:47.

[Newdjeen]

Короче, многие антивири антагонисты.... ИМХО.

многие антивири просто... люто ненавидят друг друга

[Dick]

Вчерась словил какого-то странного трояна. Он активируется не сразу, а постепенно.... начинает возрастать паразитная скачка-закачка на РС, и потом доходит до приличных величин.
Прога "DU meter" это четко отслеживает.
Заметил, что когда залетает вирус, он первым делом отрубает "восстановление системы". Видимо, это входит в первую очередь в "джентльменский набор" виря.

Применил 4 проги-антивиря: АдАвер, Панду, НОД32, avz4 (все обновленные через Инет). Ничего не помогло, не видят они его. Позвонил своему провайдеру выделенки, те сказали, что есть такой троян, переустановите ОС.

Спас образ Акрониса, паразитный трафик пропал.

Такие дела....

[dvvideo]

Да.... Везет же тебе на вирусняки.... Поосторожнее с посещением подозрительных ресурсрв типа хакерских и скачки бесплатных программок, а так же креков к платным, в дивиксах всяких взломанных полно червей встречается...

[YNUS]

Сергей, какая "фамилия" у виря?

[Dick]

2 YNUS
Не знаю. Не интересовался. Просто вернул старый образ С, сохраненной Акронисом,и все чики-чики.


dvvideo " Поосторожнее с посещением подозрительных ресурсрв типа хакерских и скачки бесплатных программок, а так же креков к платным, в дивиксах всяких взломанных полно червей встречается..."

Да, действительно, последнее время много этого качал....

[Максимыч]

после этого ... напрочь пропали иконки с рабочего стола, т.е. стол есть, а жать нечего.... и из "пуска" проги не запускаются.....
Интересное состояние испытал....

Да уж, знакомое чуйство После этого у меня появились две ОС. В Интернетной пользуюсь всю дорогу Касперским и Outpost, но последний все-же пропускает всякие мелкие dataminer , две недели назад поставил КасперскийИнтернетСекьюрити (Outpost закончился),
занятная штукуевина. Два-три дня обучается, потом просто работает. Заразы никакой нет (правда, я не сторонник скачки халявного софта).

[пётр]

Братцы, у меня тоже беда!!! Стала появлятся интернет страница(даже когда инета нет!) "Бронко"...что ли называется! Мало того , окрываю "Мои документы" а там ещё така папка...кароче всё что "весит" на оси, папкаи, всё перекопируется...кашмар какой-то!!! И комп стал не сразу выключаться...сперва требует подождать пока закроется программа...."servic"...ну что-то в этом роде...Что делать? Помогите?

Думаю может систему переставить...так опять проблема ни как не "снесу"...во каки дела!!! Пишет комп, что не могёт форматировать потому как каккие то окошка активные...блин...чёрт...Может кто что подскажет?

[Dick]

А ты все основные антивири для лечения использовал?

А насчет сноса ОСи.... у меня две загрузочные дискеты с прогой ПартишнМэджик (можно самому из проги создать).

В биосе выбираю загрузку с дискет, и этой прогой форматирую С.
Потом с диска СД запускаю Акронис и восстанавливаю образ С.

[Dick]

Может кому будет полезно....


Троянская программа-загрузчик, предназначенная для скачивания из интернета без ведома пользователя рекламной информации и ее отображения на экране зараженного компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 352256 байта. Написана на С++.

Деструктивная активность

После запуска троянец ждет соединения с интернетом, после чего выполняет следующие действия:

* отправляет информацию о времени установки троянского компонента на компьютер пользователя в зашифрованном виде на следующий URL:

www.clickspring.net/p***/.....* скачивает в зашифрованном виде по HTTP-протоколу конфигурацию для работы по следующей ссылке:

campaigns.*****info.com/campaigns.encryptedСкачанные данные сохраняются в файл campaigns.txt, который находится в кеше браузера Internet Explorer.

После этого троянец скачивает по HTTP-протоколу файлы из полученной конфигурации по следующей ссылке:

campaigns.*****info.com/campaigns.....
Файлы сохраняются в кеше веб-браузера Internet Explorer. Содержимое этих файлов — графическая информация в упакованном виде, имеющая рекламное содержание.

Данные из скачанных файлов троянец позже использует для показа пользователю всплывающих окон с рекламой.

Другие названия

Trojan-Downloader.Win32.PurityScan.d («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.PurityScan.d («Лаборатория Касперского»), Trojan.ValueAd (Doctor Web), Troj/PurScan-D (Sophos), TrojanDownloader:Win32/PurityScan.D (RAV), TR/Dldr.PurityScn.D (H+BEDV), Win32:PurityScan-D (ALWIL), Downloader.Purityscan.K (Grisoft), Trojan.Dropper.Purityscan.I (ClamAV), Adware/PurityScan (Panda), Win32/TrojanDownloader.PurityScan.D (Eset)

Рекомендации по удалению
<LI class=large>При помощи «Диспетчера задач» завершить троянский процесс. <LI class=large>Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
1. Произвести полную проверку компьютера с обновленными антивирусными базами

[Sego]

Сергей , я ничЁ в этом не понимаю , но вчера делал полную проверку , Каспер (6.0 полный) показал наличие какой то рекламы и т.д. , поудалял все - это ТО ?

[Dick]

Мэй би....

[KVASS]

Проверте систему, старой и надёжной программой SpyRemover Много чего найдёт интересного !

[m00nk]

вчера делал полную проверку , Каспер (6.0 полный)

Вообще-то делать антивирусную проверку нужно в безопасном режиме (Safe Mode - вход по F8 во время загрузки оси). Иначе может не всех вирей найти/удалить....

[Sego]

Вот еще знать бы все.... , хорошо , вопрос - Я так понимаю , что он ( антивирус) , все не отслеживает онлайн?

[Alena VR]

Nod32 обнаружил какой-то вирус, проверяла в онлайне на сайте Касперского, они написали system32\CMDOW.EXE - инфицирован not-a-virus:RiskTool.Win32.HideWindows. На компе стоит Nod32 и Kerio Firewall. Что делать с данным файлом?

[KVASS]

Удалить эту утилиту (Commandline Window Utility)
Консольная утилита размером в 31 кб, включающая порядка 30 команд управления окнами
приложений в операционных системах Windows NT4/2000/XP/2003 без использования мыши.
Тебе она нужна...?

Edited by KVASS, 10 Mar 2007 - 18:00.

[Alena VR]

как? Сережа давай вечерком с скайпе поговорим, если ты еще не будешь спать..

[KVASS]

Пуск-Найти-Файлы и папки.
Установи в Дополнительных параметрах все галочки.
Введи с поиск CMDOW.EXE
Скорее всего он в папке по адресу C:\WINDOWS\system32

[Jurij]

Хорошая утилита CMDOW.EXE , спасибо :nyam: CMDOW Commandline Window Utility

[Цветок]

И у меня Троян недавно попал. Самое смешное, что Касперский его не нашел, а обнаружил после установки Symantec antiVirus, Возиться не пришлось , он его закарантинил и вроде все без проблем. Но я о другом: т.к. мы переезжали, то компр был не в работе почти 2 месяца и в инете я только пробежалась по нашему сайту, больше нигде. Очень странно, откуда пришел Троян?

[MetroidZ]

Очень странно, откуда пришел Троян?

В Windows для проникновения на комп и выполнения команд можно использовать различные уязвимости системных сервисов. Microsoft регулярно закрывает их заплатками. Допустим в сети уже есть зараженный комп - он регулярно сканирует соседние компы и незащищенные тоже заражаются.
Т.е. даже заходить никуда не надо - достаточно иметь соединение с Интернет.
Некоторые провайдеры сами борются с подобными атаками перекрывая ненужные для обычной работы порты.
Но пользователь сам должен беспокоится о своей защите и установить фаервол.


Если есть подозрения на вирус и т.п.
Здесь даны рекомендации, и про HiJackThis, который поможет разобраться откуда берутся всплывающие лишние окна и т.п.