Трояна вон какого-то подхватил :roll:

Обсуждение разнообразного программного обеспечения.
tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Трояна вон какого-то подхватил :roll:

Сообщение tyomitch » 16.02.2006 (Чт) 13:17

Нечто запускается вместе c explorer.exe, записывает в темп свою библиотеку под случайным именем, ставит глобальный хук и из него ломится в интернет.

Образец библиотеки выложен на http://users.isnet.ru/tyomitch/uqc9.tmp (почему-то в этом разделе запрещены аттачи). На всякий случай в начало файла допечатаны два пробела, уберите их перед "исследованием".

Как найти, кто всё это вытворяет, и обезвредить?
В принципе, я и без explorer.exe могу прожить, но как-то это скучно :-|
Изображение

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 16.02.2006 (Чт) 14:01

В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Userinit) что указано?
Lasciate ogni speranza, voi ch'entrate.

tyomitch
Пользователь #1352
Пользователь #1352
Аватара пользователя
 
Сообщения: 12822
Зарегистрирован: 20.10.2002 (Вс) 17:02
Откуда: חיפה

Сообщение tyomitch » 16.02.2006 (Чт) 14:42

В общем оказалось, что у меня практически все exe-файлы на компе заражены Win32.Partite.2 (и это реальный вирус, а не троян)
То ли explorer.exe грузился первым и поэтому палился только он, то ли вирус успел так разползтись, пока я разбирался в чём дело.
Обидно :-(

Топик, я думаю, можно совсем убивать.
Изображение

neic
Жираф
Жираф
 
Сообщения: 492
Зарегистрирован: 13.02.2005 (Вс) 23:44
Откуда: Сланцы

Сообщение neic » 17.02.2006 (Пт) 21:55

У моего друга 1000файлов на C:\ и фиг знает скока на D:\ (уходил было 40) за режены этим вирусом!

Признаки : начинает хавать файл подкачки ( у того же друга аж до 1700Мб подскочило) =(

minotawr
Продвинутый пользователь
Продвинутый пользователь
Аватара пользователя
 
Сообщения: 195
Зарегистрирован: 08.01.2006 (Вс) 12:38
Откуда: Курск

Сообщение minotawr » 18.02.2006 (Сб) 6:04

Сегодня выковыривал данную заразу с одного из компьютеров в своей сети (на работе), самое странное, что Win32.Partite был только на одной машине, и по остальной сетке не разлетелся. Кстати лецензионный, ежедневно обновляемый Каспер его не прочухал сразу... :evil:

575-61
Обычный пользователь
Обычный пользователь
 
Сообщения: 59
Зарегистрирован: 21.10.2005 (Пт) 8:09
Откуда: г.Ростов-на-Дону

Сообщение 575-61 » 18.02.2006 (Сб) 11:29

У меня така же зараза.. Если бы не <Tyomitch>, я и незнал ...
Спасибо за тему!
Я переустановил драйвер модема, теперь все в порядке.
Всё относительно и всё есть - логический хаос.

VVitafresh
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1641
Зарегистрирован: 12.05.2005 (Чт) 14:44
Откуда: Херсон, UA

Сообщение VVitafresh » 18.02.2006 (Сб) 13:59

575-61 писал(а):Я переустановил драйвер модема, теперь все в порядке.
:shock:
Может я чего-то недопонимаю, но при чем здесь драйвер модема :?:
Никакую проблему невозможно решить на том же уровне, на каком она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.

575-61
Обычный пользователь
Обычный пользователь
 
Сообщения: 59
Зарегистрирован: 21.10.2005 (Пт) 8:09
Откуда: г.Ростов-на-Дону

Сообщение 575-61 » 18.02.2006 (Сб) 15:51

У меня там было <Гнездо>!
Всё относительно и всё есть - логический хаос.

Ramzes
Скромный человек
Скромный человек
Аватара пользователя
 
Сообщения: 5004
Зарегистрирован: 12.04.2003 (Сб) 11:59
Откуда: Из гробницы :)

Сообщение Ramzes » 22.02.2006 (Ср) 18:26

575-61 писал(а):У меня там было <Гнездо>!
:)

Vinechka
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 381
Зарегистрирован: 10.05.2005 (Вт) 4:07
Откуда: Москва

Сообщение Vinechka » 22.02.2006 (Ср) 18:32

575-61 писал(а):У меня там было <Гнездо>!

:shock: Скажи мне что это была шутка :shock:

Ramzes
Скромный человек
Скромный человек
Аватара пользователя
 
Сообщения: 5004
Зарегистрирован: 12.04.2003 (Сб) 11:59
Откуда: Из гробницы :)

Сообщение Ramzes » 22.02.2006 (Ср) 18:43

Vinechka
никакая это была не шутка...у них там гнездо, они там живут, размножаются, запасются на зиму процесами :wink:

Vinechka
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 381
Зарегистрирован: 10.05.2005 (Вт) 4:07
Откуда: Москва

Сообщение Vinechka » 22.02.2006 (Ср) 20:12

Угу, понанабирают себе процессов, что потом для новых PID в Long не влазит :evil:


Вернуться в Программное обеспечение

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

    TopList