Внимание троян

[amikemaster 246]

Столкнулся с троянской программой (не знаю от куда забирается)

Плодится в корне диска в виде dll32.exe , в виде w7services.exe в папке Windows

Також оседает файлами с трёхзначными числами в названии файла exe в папке \Local Settings\Temp

и повтояет тоже число в папке \WINDOWS\system32 с теми же числами , только тип файла меняет на scr

Удалять устал . Блокирнул сетевые действия фаерволом ( Outpost )

Если у кого была такая проблемма или знает более правильное решение , то жду советов.

[Mad Max]

жду советов.

Почти на все случаи жизни:

1) отключаем интернет и сеть;

3) разделяем винчестер на 2 логических диска;

2) устанавливаем ОС на диск 1, диск 2 оставляем для данных пользователя;

3) делаем резервную копию раздела с ОС на диск с данными или куда подальше;

4) устанавливаем программы;

5) делаем резервную копию раздела с ОС и программами на диск с данными или куда подальше;

6) работаем пока ОС не загнется;

7) когда ОС загнется, восстанавливаем системный раздел либо только с ОС, либо с ОС и программами.

8) работаем пока ОС не загнется и так далее.

[Butch]

Попробуй прогнать в безопасном режиме Dr.Web CureIt!® и AVZ, мне помогает в некоторых проблемах!!!

http://virusinfo.info/showthread.php?t=541...=w7services.exe

[dohtor]

У меня такая защита:

Shadow Defender -это новый аналог программы, подобной ShadowUser, позволяющей поставить систему в режим тени - Shadow mode, при котором вам не грозят ни удаление важной информации, ни атака вирусов!

Эта утилита так-же служит для обеспечения защиты компьютера и конфиденциальности информации. Предотвращает нежелательные и злонамеренные изменения в вашем компьютере, позволяет загружаться в виртуальном теневом режиме с выборочным сохранением данных, проста в обращении.

Shadow Defender создаёт виртуальный снимок указанного жёсткого диска, с которым вы и продолжаете свою работу. Атаки червей, скачивание spyware, удаление Ваших любимых фотографий и т.п... всё будет возвращено назад после очередной перезагрузки компьютера.

Удобным моментом является и то, что переход в режим Shadow в Shadow Defender - не требует перезагрузки системы.Есть и ряд просто полезных улучшений, как, например, экспорт/импорт списка исключений в файл/из файла.

Оличие Shadow Defender от ShadowUser:

1. Если в ShadowUser подключить внешний USB диск в "горячем" режиме, т.е. при загруженной XP, то ShadowUser установит его по умолчанию в режим Shadow.

А это очень неудобно, так как забыв про это и записав на внешний диск какую-либо информацию, можно распрощаться с нею, так как после перезагрузки, диск вернется в исходное состояние, т.е новая информация пропадет.

Shadow Defender лишен этого недостатка. Отметив какой диск должен находиться в режиме Shadow (обычно это системный диск C), вновь подключаемые диски будут находиться в нормальном режиме и подобного казуса с потерей данных - не произойдет.

2. Удобным моментом является и то, что переход в режим Shadow в Shadow Defender - не требует перезагрузки системы, в отличии от ShadowUser.

3. Есть и ряд просто полезных улучшений, как, например, экспорт/импорт списка исключений в файл/из файла. ShadowUser таких возможностей не имеет.

4. Кроме вышеперечисленного, ShadowUser - это уже "старая", не развивающаяся программа, а Shadow Defender живет и развивается. Она официально поддерживает и Висту.

[Mad Max]

1. Если в ShadowUser подключить внешний USB диск в "горячем" режиме, т.е. при загруженной XP, то ShadowUser установит его по умолчанию в режим Shadow.

А это очень неудобно, так как забыв про это и записав на внешний диск какую-либо информацию, можно распрощаться с нею, так как после перезагрузки, диск вернется в исходное состояние, т.е новая информация пропадет.

Shadow Defender лишен этого недостатка. Отметив какой диск должен находиться в режиме Shadow (обычно это системный диск C), вновь подключаемые диски будут находиться в нормальном режиме и подобного казуса с потерей данных - не произойдет.

А если троян запускается со съемного носителя и пишет себя по всем дискам?

И если, допустим, в тени находится системный раздел, а на него ставится по умолчанию большинство программ, которые любят сохранять настройки в реестре, в своих файлах конфигурации на том же диске - то когда работаешь с такими программами защиту нужно выключать, потом опять включать - так и запутаться недалеко? 

[dohtor]

У меня никакой защиты кроме этой 1,5 года нет и никаких проблемм. Антивирусы и фаерволы тормозят безбожно.

Раньше часто приходилось систему переустанавливать. Сейчас проблем нет. Попробуйте, я не навязываю, советую только то, чем сам пользуюсь.

А любая антивирусная защита всё равно дырявая... Я хоть и не знаток, но много чего перепробовал... Чайник ещё тот... :(

[Butch]

А если троян запускается со съемного носителя и пишет себя по всем дискам?

Для съемных носителей я использую USBGuard

[mulia]

У меня никакой защиты кроме этой 1,5 года нет и никаких проблемм. С антивирусами и фаерволамми сплошные глюки и тормозят безбожно.

Раньше часто приходилось систему переустанавливать. Сейчас проблем нет. Попробуйте, я не навязываю, советую только то, чем сам пользуюсь.

А любая антивирусная защита всё равно дырявая... Я хоть и не знаток, но много чего перепробовал... Чайник ещё тот... :(

Уже 1.5 года на новом компе стоит Vista Home Premium и Avast (как антивирусник), все лицензионное (Виста шла с компом, Аваст для некоммерческого использования свободный). Подключение в и-нет - ADSL постоянное. Проблем с вирусней пока не было. Аваст слегка пароноидальный, но оно и к лучшему. Тормозов особенных не заметил.

[dohtor]

Попробуйте проверить систему каким -нибудь качественным антишпионом и вы неприятно удивитесь...

[Mad Max]

Попробуйте проверить систему каким -нибудь качественным антишпионом и вы неприятно удивитесь...

Знаю я эти анти-... - весь варез поудаляли :( .

За совет по Shadow - спасибо, как-нибудь попробую (смысл всё равно один - сделать резервную копию).

[dohtor]

Попрбуйте, и вы как страшный сон будете вспоминать об ентих АНТИ... Главное преимущество: заразил, перезагрузил, и система снова улыбается тебе...

Только вникните...

[Mad Max]

Попрбуйте...

Есть идея обмениваться опытом по использованию и других альтернативных и желательно бесплатных программ: типа все знают блокнот, а alkelpad лучше, потому что...

?

[amikemaster]

Butch ,спасибо.

Вроде победил . CureIt + тотальная чиска реестра с RegOrganizer .

Два часа полёт нормальный.

[amikemaster]

Сегодня ещё одну дрянь выловил- вирус Autoran . На фрешке увидел незнакомую папку + папку RECYCLER + autoran.inf (Всего то сходил распечатал пару проектов в полиграфической студии) . Думаю : чёт не так . Грохнул сие файлы , отвернулся от монитора , повачиваюсь , а они опять на месте :( Посмотрел что находится в autoran.inf , а там кракозябры и точнёхиньки путь на востановление и от куда . Запустил деспетчер задач , остановил прогу . Затем залез Windows\system32\drivers\ нашёл *.exe (он может быть и *.com и разным именем ) грохнул , а потом грохнул на флешке непонятные файлы . Вроде всё нормально :D

ps у меня конкретно ссылался на LBTW.exe

[VlS]

Сегодня ещё одну дрянь выловил- вирус Autoran . На фрешке увидел незнакомую папку + папку RECYCLER + autoran.inf (Всего то сходил распечатал пару проектов в полиграфической студии) . Думаю : чёт не так . Грохнул сие файлы , отвернулся от монитора , повачиваюсь , а они опять на месте :blink: Посмотрел что находится в autoran.inf , а там кракозябры и точнёхиньки путь на востановление и от куда . Запустил деспетчер задач , остановил прогу . Затем залез Windows\system32\drivers\ нашёл *.exe (он может быть и *.com и разным именем ) грохнул , а потом грохнул на флешке непонятные файлы . Вроде всё нормально :)

ps у меня конкретно ссылался на LBTW.exe

Может, неправ - но поможем.

http://virusinfo.info/forumdisplay.php?f=46

для страждущих.

Бесплатно, et cetera.

Очень желательно сходить, даже если нынешнее av ПО сказало, что всё хорошо.

Иногда бывает, что не всё столь радужно.

[Mad Max]

Сегодня ещё одну дрянь выловил- вирус Autoran . На фрешке увидел незнакомую папку + папку RECYCLER + autoran.inf

Повезло что увидел - видимо, у тебя отображаются скрытые файлы и папки. А так эти файлы скрыты... Посмотри еще свой авторан на локальных дисках.

[amikemaster]

VlS , я регистр весь перечистил . Даж вкладки в свойствах экрана исчезли . Пришлось заново прописывать.

Повезло что увидел - видимо, у тебя отображаются скрытые файлы и папки

Всегда отображены :( Исчезновение и дт и тп означает посторонние вмешательство :D

[Mad Max]

я регистр весь перечистил . Даж вкладки в свойствах экрана исчезли . Пришлось заново прописывать.

не бережете вы себя, Юрий Бенедиктович... :( , пишут же - предохраняться нужно  :D .

[amikemaster]

пишут же - предохраняться нужно

Слабенький у меня комп . Кашперский с нодом ресурсов много жрут , AVG - вообще терминатор , а мне производительность нужна. Использую Авиру . Для отлавливания крупных вирусников на проявление активности и уничтожение хватает (активаций не нужно и обновляется самостоятельно), а мелочь приходится ручками :(

[Mad Max]

Слабенький у меня комп . Кашперский с нодом ресурсов много жрут , AVG - вообще терминатор , а мне производительность нужна. Использую Авиру . Для отлавливания крупных вирусников на проявление активности и уничтожение хватает (активаций не нужно и обновляется самостоятельно), а мелочь приходится ручками :(

Слабенький - это как? 3d Max не тянет?

[amikemaster]

Слабенький - это как? 3d Max не тянет?

7 , но слабовато.

[androic]

Попробуй прогнать в безопасном режиме Dr.Web CureIt!®

Неоднократно спасался таким способом (Аваст проспал). Но был случай :) ... Заполз ко мне таракан с вордовским документом из сети. Блокировал систему и вымогал денежки на СМС. Найти исходник антивира не смогла. Лечилка на тот момент у меня была, хоть и прокисшая (4 дня). Она тоже ничего не нарыла. 

Поскольку режим показа скрытых стоит, после долгих трудов исходник я нашёл. Назывался он странно - don68, удаляться не хотел, и орал что я права не имею проводить с ним операции. Нахал! Скачал свежую лечилку, но она тоже ничего не нашла. Незнакомая для Веб зараза?! Послал в лабораторию, сразу пришёл ответ, что это Winlock32 с полным описанием его пакостей. Значит, знают. Обновил лечилку, эффект 0.

Стал ковырять файл. Одним из способов удалось его испортить, после чего он тихо и мирно удалился. Долго пришлось подчищать "воспоминания" о нём в реестре и SusVolInf, да и далее...

Изменено 20 сентября, 2009 пользователем androic

[dohtor]

Пришло на почту, может пригодится кому:

В рунете разбушевалась мерзопакостная тварь под названием Trojan.Winlock (в классификации Dr.Web).

Эта зверюга подкрадывается незаметно (не ловится многими антивирусами даже с обновленными базами) и нападает на компьютер, вяжет его по рукам и ногам (блокирует), и начинает шантажировать владельца надписью типа этой:

===

В результате проверки было установлено, что вы используете нелицензионную версию операционной системы Windows. В целях противодействия незаконному использованию программного обеспечения Корпорация Microsoft ввела онлайновое лицензирование своих продуктов.

Для получения лицензии вам нужно отправить СМС сообщение на номер ХХХХ с кодом ХХХХХХ. В ответ вы получите номер лицензии, который нужно ввести в поле ниже для разблокировки вашей копии Windows.

Переустановка системы ни к чему не приведет.

===

За последние 4 дня я сам два раза (!) словил эту пакость на ноутбуке, причем во время обычного веб-серфинга по сайтам, внешне не вызывающим никаких подозрений.

Начал изучать эту темы, и выяснилось следующее:

1. У данного вируса имеются десятки модификаций, и его продолжают постоянно совершенствовать.

2. Отправка смс-ки списывает с телефона около 300 рублей, а код в ответ не присылается.

3. Некоторые старые версии вируса самоуничтожаются через пару часов. Мои экземпляры делать харакири не собирались.

4. У некоторых пострадавших компьютер блокировался даже при попытке входа в безопасном режиме.

А теперь инфа о том, как я лечил ноут.

В первый раз пришлось проделать хитрые манипуляции с реестром, что заняло (вместе с поиском информации, установкой необходимых утилит и т.д.) часа три.

Во второй раз испробовал более простой и надежный способ под названием «Dr.Web LiveCD». Это бесплатный антивирус, который запускается с компакт-диска под операционной системой Linux. Он запускается и работает НЕЗАВИСИМО от операционной системы, установленной на Вашем компьютере, даже если она повреждена или заблокирована, как было в моем случае.

Дальше все просто: после загрузки там имеется графическая оболочка, из которой запускается антивирус Dr.Web. Он минут 20 пошуршал в папке C:/Windows на компьютере, нашел и с моего согласия быстренько прибил файл вируса. Дальше Windows загрузилась уже без всякой блокировки, после чего мне оставалось только вычистить из реестра все упоминания этого файла, чтобы и духу его поганого не было в компьютере!

Сорри, увлекся праведным гневом. Вот ссылка на «Dr.Web LiveCD»:

http://www.freedrweb.com/livecd

Оттуда нужно скачать ISO-образ (нижняя ссылка на странице загрузки), записать его на любой CD-R или CD-RW диск (DVD не подойдет, на него не запишется) и уже с него загружаться на заразившемся компьютере, не забыв перед этим выставить в BIOS'е загрузку с CD-ROM’а.

[Mad Max]

Пришло

На каком сайте можно такого трояна поймать? Хочу файервол свой проверить... <_<

[dohtor]

Цитата(dohtor @ 8.10.2009, 16:44)

Пришло

На каком сайте можно такого трояна поймать? Хочу файервол свой проверить...

Извини, я имел ввиду "пришло письмо по рассылке" и дальше текст этого письма.