Перейти к содержанию
Правила раздела

Троян? [LOG?]

Atos

Автор Atos
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Atos

Atos

Опубликовано
Опубликовано

продолжение темы что это? вирус?

Завожу новую тему для перестраховки. Может я параноик, но не исключаю возможность, что хакер, получивший доступ к компьютеру, видел и запомнил название той темы, и может отслеживать её ;)

Дело в том, что в субботу после очередной перезагрузки компьютера, когда только хотел выложить новые логи в тему, при помещении курсора в поле ответа там написалось что-то вроде testtesttesttestesttesttest

Можно сделать выводы, что это троян, позволяющий получить доступ к компьютеру извне. И не просто троян, а саморазмножающийся: те же симптомы (сброс настройки показа скрытых файлов), как оказалось, присутствуют как минимум ещё на одном компьютере локальной сети, а также на моём домашнем компьютере, который вообще не подключён к сетям и интернету (т.е. я принёс вирус домой на заражённой флешке)

Что ещё пакостнее, эта штука неизвестно сколько времени сидит в машине, не засекаемая антивирусом...

 

Провёл сканирование GMER в безопасном режиме. Окошек с сообщением о руткитах не появлялось.

Попробовал утилитку CureIt. Тоже ничего не находит.

 

После появления этого testtesttest я сразу же отрубил сетевой кабель. Принёс и поставил Outpost, задав жёстко блокировку соединений. Только сейчас кабель подоткнул, чтобу отправить сообщение.

Надеюсь, троян не сможет каким-то образом обойти брандмауэр?

GMERlog.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
миднайт

миднайт

Опубликовано
Опубликовано (изменено)

Вам известен этот файл? Cmtp8pentpsi.sys

Поищите его через AVZ, проверьте на вирус тотале.

 

Не похож на легетимный. Отключите ПК от интернета и локалки, антивирус и фаервол. Выполните такой скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Cmtp8pentpsi');
QuarantineFile('Cmtp8pentpsi.sys','');
DeleteFile('Cmtp8pentpsi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Сделайте Новые логи.

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты
Atos

Atos

Опубликовано
  • Автор
Опубликовано
А что, это мог AVZ "написать"? 0_0

При сканировании он так делает. Это нормально.

Фухх... Ну и утилитка. Надо же было так напугать ;)

 

Вам известен этот файл? Cmtp8pentpsi.sys

Поищите его через AVZ, проверьте на вирус тотале.

Что-то не нашёл сейчас такого файла.

После выполнения скрипта карантин пуст.

 

Сделал новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Atos

Atos

Опубликовано
  • Автор
Опубликовано

В последнее время - нет, а вообще на компе локальная версия сайта висит:

127.0.0.1 localhost

127.0.0.1 lid

 

127.0.0.1 leader.lo

127.0.0.1 2006.leader.lo

127.0.0.1 2007.leader.lo

127.0.0.1 2008.leader.lo

127.0.0.1 2009.leader.lo

127.0.0.1 demo.leader.lo

127.0.0.1 adm.leader.lo

127.0.0.1 www.leader.lo

Ссылка на комментарий
Поделиться на другие сайты
Atos

Atos

Опубликовано
  • Автор
Опубликовано

Однако же симптомы до сих пор наличествуют :(

Можно ли как-нибудь отследить, какой процесс сбрасывает ключ реестра, ответственный за показ скрытых файлов? (кстати, какой это ключ?)

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Что с показом скрытых файлов?

Ссылка на комментарий
Поделиться на другие сайты
Suren

Suren

Опубликовано
Опубликовано (изменено)
Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем.

Я так делал, помогло... Правда после очистки компа от всей заразы :(

Изменено пользователем Suren
Ссылка на комментарий
Поделиться на другие сайты
Atos

Atos

Опубликовано
  • Автор
Опубликовано
Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем.

Помогло! Значит, никакой это не вирус был... У меня просто нет цензурных слов по поводу винды и её "дружественного" интерфейса :( Молчком запрещать пользователю менять настройку, делая вид, что это разрешено... мастдайные быдлокодеры, как это на них похоже

 

Спасибо всем, кто помогал разобраться в проблеме!

Ссылка на комментарий
Поделиться на другие сайты
Atos

Atos

Опубликовано
  • Автор
Опубликовано
Это могли быть последствия вируса. который удалил антивирус.
Наверняка так и есть, но то, что такие вот "последствия" вообще возможны, говорит о непродуманности пользовательской политики в реестре :( То, что поведение уже незаражённой ОС можно легко принять за действие вируса, говорит само за себя...

Может, этот момент куда-нибудь в FAQ внести? а то ведь даже специалисты не сразу правильное решение подсказали...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...