Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   Что за червяк? (https://forum.antichat.xyz/showthread.php?t=108770)

travakur 02.03.2009 12:49
Что за червяк?
 
Avira несколько раз в день находит троянов: WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EVUXS7QD\retodozz[1].exe , retodozz[2].exe и в WINDOWS\Temp\rdl35.tmp. Пишет "Is the TR/Crypt.XDR.Gen Troyan". Этот червяк менял реестр, так, что нельзя было включить отображение скрытых папок - я поправил реестр, зашёл - там, кроме retodozz[2].exe файл index.dat - открыл блокнотом - заголовок Client UrlCache MMF Ver 5.2, далее имена 4х папок: KDEN8BYD, EVUXS7QD, SPQJCXMF, KTQZ49YB, в кот. и помещались retodozz'ы и адрес http://ohee.ru/retodozz.exe, откуда они и качались. Удаляю, Unlocker пишет заблокировано процессом svchost, убил процесс - пишет "аварийная перезагрузка через 30 сек, убили службу DCOM". Отключил службу, снёс папку Content.IE5 (кстати, у меня стоит IE6 :D )ща вроде всё норм, посмотрим...

travakur 02.03.2009 13:04
набери http://ohee.ru/retodozz.exe

MaZaHaKer 02.03.2009 13:07
пройдись утилитой AVZ и почисть временные файлы вручную

или обратись сюда : http://virusinfo.info/forumdisplay.php?f=46
выполнив эти правила : http://virusinfo.info/showthread.php?t=1235

PS : это Trojan-Clicker по Kасперскому.

travakur 02.03.2009 13:29
MaZaHaKer, Кстати, мож из-за него у меня не открывается твои ссылки http://virusinfo.info/forumdisplay.php?f=46, описания вирусов типа http://www.avira.com/en/threats/section/details/id_vir/3525/index.html (через перевод гугла открывается), не обновляется Avira (ставил Нод32, АВГ, Аутпост - не обновляются )????

travakur 02.03.2009 13:42
Цитата:
Сообщение от neversmile
Salita может?
тут про нее десятки тем было
по запросу Salita поиск находит тока эту тему....

swt1 02.03.2009 14:00
собсна вот
Цитата:
Malware name Trojan.Crypt.XDR.Gen
Type Trojan
Affected platform Win32
Media-Type application/executable
MD5 checksum 4E0F29C062AF92C9E1AF19D4635BDB34
Static file yes
Filesize 158,720 Bytes
Alias names
(also known as) Sophos Troj/Agent-BUC
McAfee Generic.di
CA ETrust Win32/Pipown!generic

Protection Webwasher Anti Malware 6036.49.x

Side effects Drops a file
Drops malicious files
Registry modification
Propagation No own spreading routine




Description:

Files

копирует себя в слудещие папки
• %SYSDIR%\ISASS.exe
• %WINDIR%\Resources\Empty.bat
• %WINDIR%\Media\msconfig.bat
• %WINDIR%\security\kernel32.bat
• %WINDIR%\system32.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Temp.pif
• %SYSDIR%\LNETINFO.exe
• %home%\My Documents\Data %computer name%.exe
• %SYSDIR%\Kiamat.exe
• %home%\My Documents\%all subdirectories%\%current directory%.exe



создаёт файлы

– %WINDIR%\security\ms.inf
Registry

добавляет себя в реестр-

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "msconfig"="%WINDIR%\Media\msconfig.bat"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Kiamat Sudah Dekat_16_04"="%SYSDIR%\ISASS.exe"



The following registry key is added:

– HKCU\Software\Policies\Microsoft\CurrentVersion\Po licies\Explorer
• "NoFind"=dword:00000001



следущие ключи реестра после изменения

Disable Regedit and Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
New value:
• "DisableRegistryTools"=dword:00000001
• "DisableTaskMgr"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Old value:
• "Hidden"=%user defined settings%
• "HideFileExt"=%user defined settings%
New value:
• "Hidden"=dword:00000002
• "HideFileExt"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Old value:
• "Shell"="Explorer.exe"
New value:
• "Shell"="Explorer.exe "%WINDIR%\Resources\Empty.bat""

– HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
New value:
• "DisableCMD"=dword:00000001

travakur 02.03.2009 14:05
neversmile, не похоже на Sality

travakur 02.03.2009 14:13
swt1, Trojan.Crypt.XDR.Gen retodozz.exe, закачанный с http://ohee.ru/retodozz.exe - это следствие, а причина?

и описанные тобой ключи реестра не изменены

travakur 02.03.2009 18:36
Опять появился retodozz.exe!!!
В новом месте: Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CR63IBOV
Чё с ним делать???
так-же присутствует файл index.dat по томуже пути и второй здесь Documents and Settings\NetworkService\Local Settings\History\History.IE5

Pernat1y 02.03.2009 19:05
Цитата:
Сообщение от travakur
набери http://ohee.ru/retodozz.exe
каспер утверждает, что это
Код:
Trojan-Clicker.Win32.Delf.cat
вообще пробуй КурИтом из сэйф мода под админом выковыривать


Время: 16:38
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице