Троян или что это? - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Leia

Троян или что это?

Recommended Posts

Leia

Приветствую!

Может быть кто то сможет ответить мне на вопрос? Можно ли зацепить вирус из аськи, получив сообщение от нового юзера (не из моего контакт-листа). НЕ ПРОЧИТАВ ПРИ ЭТОМ СООБЩЕНИЯ И СООТВЕТСВЕННО НЕ ХОДЯ НИ ПО КАКИМ ССЫЛКАМ И НЕ ОТКРЫВАЯ НИКАКИХ ВЛОЖЕНИЙ. Я нажала кнопку "Read next" чтобы прочитать сообщение, и... ничего не произошло. Сообщения не было. Ничего не открылось.

Зато теперь по форумам которые я посещаю, в.т. в качестве админа ходит некий "гость" который проделывает все те же действия что и я. Читает личку (гости не могут ни читать не отправлять личные сообщения), открывает ту же тему, и т.д. Речь идет о фастбб - форумах, там можно посмотреть что и кто в данный момент на форумах делает. Сначала я подумала что у меня глючит комп, но потом этого самого гостя (IP я записала, но оно мне ничего не дало) я застала за чтением темы в которую я не заглядывала

НОД32 у меня стоит, я даже глубокое сканирование выполнила. Ничего.

Можно так трояна заполучить? или программу которая отслеживант мои действия и передает их затем "хозяину" ? или что это происходит вообще? И что мне теперь делать, если антивир ничего не находит? в реестре я ничего не понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
НЕ ПРОЧИТАВ ПРИ ЭТОМ СООБЩЕНИЯ И СООТВЕТСВЕННО НЕ ХОДЯ НИ ПО КАКИМ ССЫЛКАМ И НЕ ОТКРЫВАЯ НИКАКИХ ВЛОЖЕНИЙ

Если всё было так, то нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leia

Dexter

мне тоже так показалось, но все ведь было неправильно. ткнув на кнопку "read next" я должна была получить сообщение. а ничего не случилось. кнопка просто стала неактивной после того как я на нее ткнула. И что это тогда за таинственный гость, гуляющий со мной по форумам и читающий личку одновременно со мной?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Leia

Неужто трудно с правами админа на форуме справится с таинственным ГОСТЕМ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leia

broker

аха :-( это форум fastbb (или borda.ru по другому), т.е. мое "админство" там чисто номинальное.

А на форуме техподдержки fastbb мои сообщения не пропускают с премодерации. наверное не знают что ответить..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Выполните, пожалуйста, правила на http://forum.kaspersky.com/index.php?showtopic=23473 и пришлите мне полученные протоколы. Будем разбираться. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leia

Выполнила, прикалываю.

только у меня в папке были не virusinfo_syscure.zip и virusinfo_syscheck.zip. а virusinfo_syscure.zip и virusinfo_cure.zip

ОНО по прежнему появляется везде где и я (по крайней мере там где я могу его видеть). Такое ощущение что эта програмка передает на другой комп URL-ы на которых я нахожусь и они немедленно открываются там же.

И еще, когда я сегодня подключилась к сети, но браузер открыть не успела (да и вообще ничего не открывала) - активность была, т.е. кол-во принятых и отправленных байт стало потихоньку прибавляться.

Посмотрела лог и нашла там это: C:WINDOWSDownloaded Program Filespopcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Зашла на сайт касперского и проверила этот файлик. Да, оно заражено. Что сделать? просто удалить? или оно где то в реестре уже?

virusinfo_syscure.zip

virusinfo_cure.zip

hijackthis.rar

virusinfo_syscure.zip

virusinfo_cure.zip

hijackthis.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вроде бы никаких злых вирусов не видно :)

C:WINDOWSDownloaded Program Filespopcaploader.dll - вот это стоит удалить. Выделяете в AVZ эту папку, в методики лечения выбираете для всего - удалить. И проверяете эту папку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leia

у меня вопросы:

1) есть ли какая то возможность узнать откуда (ну или каким путем) и когда попала ко мне эта дрянь?

2) это является программой шпионом с помощью которых на другой комп передаются URL-ы которые я посещаю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
C:WINDOWSDownloaded Program Filespopcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Если верить google.com, то этот файл из семейства Trojan.Downloader'ов.

P.S. Надо бы отправить его на проверку Олегу Зайцеву (AVZ). В архиве с паролем virus на адрес newvirus@z-oleg.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Так вроде чисто (за исключением уже упомянутого файла).

На всякий случай поменяйте пароль на вашей админской учетке.

Вообще такие вещи, как тот гость, можно и без пароля делать... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

NickGolovko дело говорит. Мало ли что у вас было. Теперь просто необходимо поменять пароли на интернет-соединения, учетку Windows и пр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×