Printable Version of Topic
Click here to view this topic in its original format
Forums > Глюкодром > Троян завелся


Posted by: VxWorks on 28-10-2009, 01:32
Вот уже второй день подряд AVG выдает сообщение, что он обнаружил троян и удалил его. Вопит как при общем скане, так и резидентном.

Файл всегда один и тот же, располагается в кэше IE (которым я, к слову сказать, не пользуюсь) и называется m190[1].exe

AVG его определяет как Trojan Horse Generic14.AVLQ либо Trojan Horse Generic15.ACXK

Никакой инфы найти не могу.

Malwarebytes пишет, что нашел два трояна:

Files Infected:
C:\Documents and Settings\XX\Local Settings\Temp\41070026exe.e. 2728 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\H1SP8G9B\m190[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.

После удаления, они через пару часов появляются снова. Сканирование в Safe mode не выявляет ничего.

HiJackThis не находит никаких проблем. F-Secure Blacklight (анти-руткит) ничего подозрительного не видит.

Есть идеи?

Posted by: Set on 28-10-2009, 01:55
Утилиты от sysinternals попробуй, авторан и процессэксплорер должны помочь найти откуда оно запускается и каким образом.

Posted by: VxWorks on 28-10-2009, 02:10
Дык его антивирь гробит нафиг, как я пойму, кто его запускает?

Posted by: Гордый on 28-10-2009, 02:16
QUOTE (VxWorks @ 28-10-2009, 00:10):
кто его запускает?
Winamp или что-то подобное... :drag:

Posted by: VxWorks on 28-10-2009, 02:20
Ты серьезно думаешь на Винамп? Что-то сомнительно. :) Да и он у меня настолько древний... v2.75

Posted by: Гордый on 28-10-2009, 02:29
QUOTE (VxWorks @ 28-10-2009, 00:20):
Ты серьезно думаешь на Винамп? Что-то сомнительно. :) Да и он у меня настолько древний... v2.75
Это серьёзно. Я знаю, что надо в IE для некоторых плееров открывать работу скриптов по умолчанию, что бы они нормально работали, инет радио и т. д. :nlo: винамп один из них! :actu:

Posted by: VxWorks on 28-10-2009, 02:36
Дык винампу сказано, что инета у него нет. Да и в хелперах IE он должен бы быть виден, разве нет?
Кроме того, я IE вообще не пользуюсь.

Posted by: Sandro on 28-10-2009, 02:38
Попробуй сделать откат системы на неделю назад, может поможет.

Posted by: VxWorks on 28-10-2009, 02:39
Я его отключил три года назад :)

Posted by: Гордый on 28-10-2009, 02:42
QUOTE (VxWorks @ 28-10-2009, 00:36):
Дык винампу сказано, что инета у него нет. Да и в хелперах IE он должен бы быть виден, разве нет?
Кроме того, я IE вообще не пользуюсь.
Причём здесь пользование IE? через него просто много прог ходят на странички. Виден или нет будет винамп не знаю... попробуй его выкинуть. Или может проапдейтить IE до последней версии? :wink:

Posted by: Sandro on 28-10-2009, 02:43
Ой.

Posted by: Гордый on 28-10-2009, 02:44
QUOTE (VxWorks @ 28-10-2009, 00:39):
Я его отключил три года назад :)
откатись назад на 4 года... точно поможет! :D: :diablo:

Posted by: Sandro on 28-10-2009, 02:46
VxWorks, ты Sentinel убрал из системы? Это может он пишет докторские заметки о жизни твоего диска.

Posted by: Gwelgoth on 28-10-2009, 02:48
имхо искать откуда запускается, оно прячется хитро, и распаковывает себя в нужные места.. бывает даже папки прячет, так что и вообще не видно. как - не знаю, руками путь вбиваешь - заходишь :)
антивирь включен на сканирование по всех файлов или по разрешению?

Posted by: Vlady304 on 28-10-2009, 05:45
Проапгрэйдь ИЕ до шестого хотя бы :D:

Posted by: Lord KiRon on 28-10-2009, 10:36
Обычно когда антивирь с регулярным постоянством находит троян то это одно из двух:
1. У тебя их два и второй, которого антивирус не замечает "приносит" компаньона.
2. У тебя сидит троян на уровне руткит которых хрен удалишь и из SafeMode .

В обоих слчаях лечил поставив Avast!'>Avast! (http://www.avast.com и просканировав из "досовского" режима , то есть после ребута , когда он грузится и сканирует ДО загрузки винды.

Posted by: astra on 28-10-2009, 12:24
QUOTE (Lord KiRon @ 28-10-2009, 07:36):
просканировав из "досовского" режима , то есть после ребута , когда он грузится и сканирует ДО загрузки винды.
Хотел посоветовать тоже самое. Только выруби AVG на это время, что бы 2 антивируса не работали одновременно.

Posted by: VxWorks on 28-10-2009, 12:31
Проапгрейдил систему, поставил восьмой IE и все патчи безопасности. Пока полет нормальный.

Posted by: Гордый on 28-10-2009, 13:27
QUOTE (VxWorks @ 28-10-2009, 10:31):
Проапгрейдил систему, поставил восьмой IE и все патчи безопасности. Пока полет нормальный.
говорил же, поставь последнюю версию. Теперь все дырки закрыл и не узнаешь кто это тебе троянов слал. :diablo: Но то что это какой-то плеер 99%, а то что это winamp был 95% :drag:

Posted by: VxWorks on 28-10-2009, 13:28
Дык я в последние пару дней Винамп не запускал. А Winamp Agent убит в msconfig, так что он точно не запускается.

Posted by: Гордый on 28-10-2009, 13:43
QUOTE (VxWorks @ 28-10-2009, 11:28):
Дык я в последние пару дней Винамп не запускал. А Winamp Agent убит в msconfig, так что он точно не запускается.
Я бы наверно не сразу патчил IE, это крайняя мера. Я бы сначала вывел на чистую воду шпион-прогу. Т. е. убивал бы в порядке подозрительности одну за другой... так я года 3 назад нашёл Winamp и какой-то улучшайзер для винды, шас не помню какой... :pig: а ещё года четыре назад, помню такой прогой был Ulead Photo Video Studio , там правда не сама прога была шпионом, а крек к ней. помню много я тогда поубивал прог пока дошло дело до неё... потом была благодать! :dance:

Posted by: VxWorks on 28-10-2009, 13:45
Ну посмотрим, как оно дальше будет. :)

Posted by: Abend on 30-10-2009, 06:09
http://z-oleg.com/secur/avz_doc/ (http://z-oleg.com/secur/avz_doc/

Posted by: VxWorks on 30-10-2009, 09:18
Спасибо, но пока вроде все устаканилось.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)