Перейти к содержанию
Правила раздела

Троян с "Вечной жизнью"

NoAdmin

От NoAdmin
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

NoAdmin Постоялец

NoAdmin

Опубликовано
Опубликовано (изменено)

KIS 7.0.0.125 обнаружил трояна и благополучно его удалил:

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT6B32.exe

 

Перегружаю ПК, через некоторое время:

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT5932.exe

 

Отключаю любую автозагрузку (при помощи: jv16 PowerTools)

 

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT5D32.exe

 

Отключаю сеть. Перегружаю. Папка Temp - пуста.

 

Вывод 1. При загрузке ОС загружается из сети вирус.

 

Устанавливаю на KAV - Блокирование сетевого трафика, включаю сеть, перегружаю

 

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT5C32.exe

 

Смотрю KAV\Мониторинг сети\Трафик\ там 2 записи:

 

78.109.28.48.in.hosting.ua | 78.109.28.48 | 32,5 Kb | 1,6 Kb |

195.161.119.248 | 195.161.119.248 | 480 b | 909 b |

 

Т.к. размер файла NT****.exe 30 Кб то повидимому качается от 78.109.28.48

 

Вопросы:

 

Как заблокировать IP?

Как найти инициатора загрузки трояна?

Изменено пользователем NoAdmin
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 51
  • Created
  • Последний ответ

Top Posters In This Topic

  • NoAdmin

    24

  • akoK

    11

  • ТроПа

    8

  • Vsoft

    2

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

ТроПа
ТроПа

Выполните в АВЗ begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\baselbd32.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); en

akoK
akoK

begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\JKDEFR~1.SCR',''); QuarantineFile('C:\WINDOWS\system32\baseeopiq32.dll',''); BC_ImportQuarantineList; BC_Activate;

ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

Выполните в АВЗ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\baselbd32.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьтер перезагрузится.

Затем выполните в АВЗ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantinefk4381.zip');
end.

Файл quarantinefk4381.zip из Папки в которой находится АВЗ вышлите на адрес 54712@rambler.ru

 

Затем выполните в АВЗ

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
 i := Pos(SSS,SS); l := Length(ss);
 If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
 s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
  SS := SL[i];
  If Pos('ServerDll=base',SS) > 0 Then Begin
 If SS <> 'ServerDll=basesrv,1' Then Begin
 AddToLog('Infected "SubSystem" value : ' + SS);
 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
 end;
 end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
 i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
 SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
 AddToLog('Infection name : ' + SSS + '.dll');
 SetAVZGuardStatus(True);
 If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
 SF.Add('REGEDIT4'); SF.Add('');
 SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
 SSS := '"Windows"=hex(2):';
 for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
 SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
 ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
 SaveLog(GetAVZDirectory + 'SubSystems.log');
 RebootWindows(false);
end;
SL.Free; SF.Free;
End.

 

Повторите логи(и лог от HJT). Прикрепите также к сообщению SubSystems.log из папки AVZ.

 

P.S. Не вздумайте красавца удалять вручную, он портит реест винду не загрузите ;)

Изменено пользователем wise-wistful
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
NoAdmin Постоялец

NoAdmin

Опубликовано
  • Автор
Опубликовано (изменено)
C:\WINDOWS\JKDEFR~1.SCR подозрительный объект. Скринсейверы так "хорошо" не внедряются в ОС.

Это дефрагментатор!

JkDefragScreenSaver.txt

Я его сам туда кинул (C:\WINDOWS\)

Правда пользовал вариант *.exe

 

Выполните в АВЗ

Первые два скрипта выполнил и отправил почтой файл.

Кстати у меня, сегодня, в Outlook Express пропали кнопки Антиспама KIS. Как восстановить? Сенкс!

 

P.S. Не вздумайте красавца удалять вручную, он портит реест винду не загрузите ;)

Уточните про какого "красавца" идет речь?

Изменено пользователем NoAdmin
Ссылка на комментарий
Поделиться на другие сайты
NoAdmin Постоялец

NoAdmin

Опубликовано
  • Автор
Опубликовано
baselbd32.dll - именно для его удаления и применяется 3 скрипт.

 

Кстати новенький ;)

 

Со старенькими KIS справлялся:) А тут только Ваша аналитика.

 

После выполнения 3 скрипта exe-шник в TEMP не появлялся! Спасибо! (Счас нажму на благодарность:))

 

Логи еще нужны?

 

Посоветуете что нибудь по поводу кнопок антиспама в почте?

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

Да логи нужны глянем что там.

 

Скоро и этого касперкий будет знать, позаботимся об этом.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
NoAdmin Постоялец

NoAdmin

Опубликовано
  • Автор
Опубликовано (изменено)
Да логи нужны глянем что там.

virusinfo_syscheck.zip

virusinfo_syscure.zip

SubSystems.txt

hijackthis.txt

sysinfo.txt

 

о как, а антиспам включен?

Да! И даже отрабатывает (ProblemSpam, Spam)

Изменено пользователем NoAdmin
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

В логах врагов нет. Поздравляю ;)

 

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

 

Уже опознали Вашего врага baselbd32.dll - Trojan.Win32.Agent.jig

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • KL FC Bot
      SparkCat — первый троян-стилер, пробравшийся в App Store | Блог Касперского
      От KL FC Bot
      В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.
      Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?
      Довесок к легитимным приложениям
      Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.
      Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store
       
      View the full article
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...