Троян? [LOG?]

[Atos]

продолжение темы что это? вирус?

Завожу новую тему для перестраховки. Может я параноик, но не исключаю возможность, что хакер, получивший доступ к компьютеру, видел и запомнил название той темы, и может отслеживать её

Дело в том, что в субботу после очередной перезагрузки компьютера, когда только хотел выложить новые логи в тему, при помещении курсора в поле ответа там написалось что-то вроде testtesttesttestesttesttest

Можно сделать выводы, что это троян, позволяющий получить доступ к компьютеру извне. И не просто троян, а саморазмножающийся: те же симптомы (сброс настройки показа скрытых файлов), как оказалось, присутствуют как минимум ещё на одном компьютере локальной сети, а также на моём домашнем компьютере, который вообще не подключён к сетям и интернету (т.е. я принёс вирус домой на заражённой флешке)

Что ещё пакостнее, эта штука неизвестно сколько времени сидит в машине, не засекаемая антивирусом...

 

Провёл сканирование GMER в безопасном режиме. Окошек с сообщением о руткитах не появлялось.

Попробовал утилитку CureIt. Тоже ничего не находит.

 

После появления этого testtesttest я сразу же отрубил сетевой кабель. Принёс и поставил Outpost, задав жёстко блокировку соединений. Только сейчас кабель подоткнул, чтобу отправить сообщение.

Надеюсь, троян не сможет каким-то образом обойти брандмауэр?

GMERlog.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[миднайт]

"testtesttesttestesttesttest"

AVZ запущен был при возникновении этой записи?

[Atos]

по-моему, нет. Логи к этому моменту я уже сделал.

 

А впрочем, точно не помню

Изменено 24 августа, 2009 пользователем Atos

[миднайт]

Вам известен этот файл? Cmtp8pentpsi.sys

Поищите его через AVZ, проверьте на вирус тотале.

 

Не похож на легетимный. Отключите ПК от интернета и локалки, антивирус и фаервол. Выполните такой скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Cmtp8pentpsi');
QuarantineFile('Cmtp8pentpsi.sys','');
DeleteFile('Cmtp8pentpsi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Сделайте Новые логи.

Изменено 24 августа, 2009 пользователем миднайт

[Atos]

А что, это мог AVZ "написать"? 0_0

При сканировании он так делает. Это нормально.

Фухх... Ну и утилитка. Надо же было так напугать

 

Вам известен этот файл? Cmtp8pentpsi.sys

Поищите его через AVZ, проверьте на вирус тотале.

Что-то не нашёл сейчас такого файла.

После выполнения скрипта карантин пуст.

 

Сделал новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

В файл HOSTS что-нибудь вносили ?

[Atos]

В последнее время - нет, а вообще на компе локальная версия сайта висит:

127.0.0.1 localhost

127.0.0.1 lid

 

127.0.0.1 leader.lo

127.0.0.1 2006.leader.lo

127.0.0.1 2007.leader.lo

127.0.0.1 2008.leader.lo

127.0.0.1 2009.leader.lo

127.0.0.1 demo.leader.lo

127.0.0.1 adm.leader.lo

127.0.0.1 www.leader.lo

[thyrex]

Ничего подозрительного

[Atos]

Однако же симптомы до сих пор наличествуют

Можно ли как-нибудь отследить, какой процесс сбрасывает ключ реестра, ответственный за показ скрытых файлов? (кстати, какой это ключ?)

[thyrex]

Выполните скрипт в AVZ

begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Что с показом скрытых файлов?

[Suren]

Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем.

Я так делал, помогло... Правда после очистки компа от всей заразы

Изменено 25 августа, 2009 пользователем Suren

[snifer67]

thyrex итак эту проблему решил с помощью скрипта avz.

[Atos]

Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем.

Помогло! Значит, никакой это не вирус был... У меня просто нет цензурных слов по поводу винды и её "дружественного" интерфейса Молчком запрещать пользователю менять настройку, делая вид, что это разрешено... мастдайные быдлокодеры, как это на них похоже

 

Спасибо всем, кто помогал разобраться в проблеме!

[ТроПа]

Это могли быть последствия вируса. который удалил антивирус.

[Atos]

Это могли быть последствия вируса. который удалил антивирус.

Наверняка так и есть, но то, что такие вот "последствия" вообще возможны, говорит о непродуманности пользовательской политики в реестре То, что поведение уже незаражённой ОС можно легко принять за действие вируса, говорит само за себя...

Может, этот момент куда-нибудь в FAQ внести? а то ведь даже специалисты не сразу правильное решение подсказали...