Какой-то следящий троян , HELP

Тема в разделе "ВАЖНО:ПОМОЩЬ В ЛЕЧЕНИИ КОМПЬЮТЕРА", создана пользователем Magic_Mushroom, 25 янв 2015.

↑ ↓
  1. Magic_Mushroom Житель форума
    Magic_Mushroom
    Ответить в чате

    Форумчанин

    Регистрация:
    30.06.2014
    Сообщения:
    179
    Симпатии:
    89
    Репа:
    +90 / 0 / -0
    в общем обнаружил какой-то троян, что это и как с ним бороться?
    скан avz
    [​IMG]

    2 desktop.ini c рабочего стола
    [​IMG]

    скрин всех процессов
    [​IMG] [​IMG] [​IMG]
     
    • Мне нравится Мне нравится x 1
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.190
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Это может быть и не троян.Перехваты может создавать и антивирусная защита,а AVZ всего лишь регистрирует их.
     
    • Мне нравится Мне нравится x 1
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.190
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Просканируй чем-нибудь обычным:курейтом или Kaspersky Rescue Disk.AVZ для профессионалов,половина из того,что он показывает-ложная тревога.Так что этой утилитой можно больше навредить системе если неумело пользоваться.Ну или почитай ман по AVZ.
     
    • Мне нравится Мне нравится x 3
  4. Magic_Mushroom Житель форума
    Magic_Mushroom
    Ответить в чате

    Форумчанин

    Регистрация:
    30.06.2014
    Сообщения:
    179
    Симпатии:
    89
    Репа:
    +90 / 0 / -0
    сканирую сейчас нодом
    а что на счет desktop.ini?
    что-то очень подозрительные строчки там
     
  5. Magic_Mushroom Житель форума
    Magic_Mushroom
    Ответить в чате

    Форумчанин

    Регистрация:
    30.06.2014
    Сообщения:
    179
    Симпатии:
    89
    Репа:
    +90 / 0 / -0
    из антивирусов только Eset Smart Sesurity
     
  6. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    Этого скрина АВЗ недостаточно для диагноза. По нему видно лишь одно: сплайсингом перехвачены несколько фунок в юзермоде в либе user32, которые отвечают за дисплей\окна. Сделать это мог либо нод, либо еще какая-то тулзень. Нод мог сделать это для двух целей: отслеживание винлоков или определение полноэкранного игрового режима. На память не помню делает ли он такие перехваты или нет, но на троян это вообще не похоже - слишком нетипичные перехваты для трояна, хотя на 100% исключить трояна нельзя. Потому согласен с идеей проверки CureIt-ом и Avptool от каспера. Если они ничего не найдут, то вряд ли есть какая-то зараза. Вот рекламу (тулбар\левые настройки браузера, что ведет к рекламе) они могут и не найти, а вот живую малварь в системе, которая ставит хуки - точно найдет хотя бы один.
     
    • Мне нравится Мне нравится x 3
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    Кстати CureIt обнаруживает "Легальные" программы типо там РМС и т.д., поэтому тоже рекомендую просканить разок, если там что-то внедрилось из "Легального" софта должен как минимум уведомить ! ;)

    Что касается desktop.ini файлов, то по идеи эти файлы нужны для как минимум хранения настройки значка папки и права доступа и т.д.

    Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...WinkSmile
     
    • Мне нравится Мне нравится x 1
  8. Khorne Уважаемый пользователь
    Khorne
    Ответить в чате

    Форумчанин

    Регистрация:
    14.12.2014
    Сообщения:
    267
    Симпатии:
    267
    Пол:
    Мужской
    Репа:
    +293 / 6 / -7
    Просто у него в настройках папки,включено "Показ скрытых системных файлов".
     
  9. Magic_Mushroom Житель форума
    Magic_Mushroom
    Ответить в чате

    Форумчанин

    Регистрация:
    30.06.2014
    Сообщения:
    179
    Симпатии:
    89
    Репа:
    +90 / 0 / -0
    да:)
    меня просто смутила вот эта строчка, поэтому и выложил их
    Remote Desktop Connection.lnk=@%SystemRoot%\system32\mstsc.exe,-4000
     
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.814
    Симпатии:
    435
    Пол:
    Мужской
    Репа:
    +971 / 153 / -29
    Jabber:
    Telegram:
    Ну по моему мнению ничего страшного...

    Секция LocalizedFileNames - Позволяет управлять отображаемыми именами файлов данной директории.

    Если по простому, то если например необходимо переместить стандартный ярлык отображаемый как "Удалённый рабочий стол" (А файл mstsc.exe это именно он и есть) (настоящее имя Remote Desktop Connection.lnk) на рабочий стол, с помощью проводника, или чего либо, то он будет отображаться как "Remote Desktop Connection"...

    Если честно неочень понимаю для чего это нужно, но вредоносного ничего в этом нет...

    Вот остальные секции можете посмотреть:https://ru.wikipedia.org/wiki/Desktop.ini

    Что-то такого вредоносного или "Шпионского" в этих файлах вроде нет-же !Не въехал!!!
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей