Перейти к содержанию

Троян? [LOG?]


Рекомендуемые сообщения

продолжение темы что это? вирус?

Завожу новую тему для перестраховки. Может я параноик, но не исключаю возможность, что хакер, получивший доступ к компьютеру, видел и запомнил название той темы, и может отслеживать её ;)

Дело в том, что в субботу после очередной перезагрузки компьютера, когда только хотел выложить новые логи в тему, при помещении курсора в поле ответа там написалось что-то вроде testtesttesttestesttesttest

Можно сделать выводы, что это троян, позволяющий получить доступ к компьютеру извне. И не просто троян, а саморазмножающийся: те же симптомы (сброс настройки показа скрытых файлов), как оказалось, присутствуют как минимум ещё на одном компьютере локальной сети, а также на моём домашнем компьютере, который вообще не подключён к сетям и интернету (т.е. я принёс вирус домой на заражённой флешке)

Что ещё пакостнее, эта штука неизвестно сколько времени сидит в машине, не засекаемая антивирусом...

 

Провёл сканирование GMER в безопасном режиме. Окошек с сообщением о руткитах не появлялось.

Попробовал утилитку CureIt. Тоже ничего не находит.

 

После появления этого testtesttest я сразу же отрубил сетевой кабель. Принёс и поставил Outpost, задав жёстко блокировку соединений. Только сейчас кабель подоткнул, чтобу отправить сообщение.

Надеюсь, троян не сможет каким-то образом обойти брандмауэр?

GMERlog.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты

по-моему, нет. Логи к этому моменту я уже сделал.

 

А впрочем, точно не помню

Изменено пользователем Atos
Ссылка на сообщение
Поделиться на другие сайты

Вам известен этот файл? Cmtp8pentpsi.sys

Поищите его через AVZ, проверьте на вирус тотале.

 

Не похож на легетимный. Отключите ПК от интернета и локалки, антивирус и фаервол. Выполните такой скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Cmtp8pentpsi');
QuarantineFile('Cmtp8pentpsi.sys','');
DeleteFile('Cmtp8pentpsi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Сделайте Новые логи.

Изменено пользователем миднайт
Ссылка на сообщение
Поделиться на другие сайты
А что, это мог AVZ "написать"? 0_0

При сканировании он так делает. Это нормально.

Фухх... Ну и утилитка. Надо же было так напугать ;)

 

Вам известен этот файл? Cmtp8pentpsi.sys

Поищите его через AVZ, проверьте на вирус тотале.

Что-то не нашёл сейчас такого файла.

После выполнения скрипта карантин пуст.

 

Сделал новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты

В последнее время - нет, а вообще на компе локальная версия сайта висит:

127.0.0.1 localhost

127.0.0.1 lid

 

127.0.0.1 leader.lo

127.0.0.1 2006.leader.lo

127.0.0.1 2007.leader.lo

127.0.0.1 2008.leader.lo

127.0.0.1 2009.leader.lo

127.0.0.1 demo.leader.lo

127.0.0.1 adm.leader.lo

127.0.0.1 www.leader.lo

Ссылка на сообщение
Поделиться на другие сайты

Однако же симптомы до сих пор наличествуют :(

Можно ли как-нибудь отследить, какой процесс сбрасывает ключ реестра, ответственный за показ скрытых файлов? (кстати, какой это ключ?)

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Что с показом скрытых файлов?

Ссылка на сообщение
Поделиться на другие сайты
Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем.

Я так делал, помогло... Правда после очистки компа от всей заразы :(

Изменено пользователем Suren
Ссылка на сообщение
Поделиться на другие сайты
Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем.

Помогло! Значит, никакой это не вирус был... У меня просто нет цензурных слов по поводу винды и её "дружественного" интерфейса :( Молчком запрещать пользователю менять настройку, делая вид, что это разрешено... мастдайные быдлокодеры, как это на них похоже

 

Спасибо всем, кто помогал разобраться в проблеме!

Ссылка на сообщение
Поделиться на другие сайты
Это могли быть последствия вируса. который удалил антивирус.
Наверняка так и есть, но то, что такие вот "последствия" вообще возможны, говорит о непродуманности пользовательской политики в реестре :( То, что поведение уже незаражённой ОС можно легко принять за действие вируса, говорит само за себя...

Может, этот момент куда-нибудь в FAQ внести? а то ведь даже специалисты не сразу правильное решение подсказали...

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...