Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
02.03.2009, 12:49
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
Что за червяк?
Avira несколько раз в день находит троянов: WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EVUXS7QD\ retodozz[1].exe , retodozz[2].exe и в WINDOWS\Temp\ rdl35.tmp. Пишет "Is the TR/Crypt.XDR.Gen Troyan". Этот червяк менял реестр, так, что нельзя было включить отображение скрытых папок - я поправил реестр, зашёл - там, кроме retodozz[2].exe файл index.dat - открыл блокнотом - заголовок Client UrlCache MMF Ver 5.2, далее имена 4х папок: KDEN8BYD, EVUXS7QD, SPQJCXMF, KTQZ49YB, в кот. и помещались retodozz'ы и адрес http://ohee.ru/retodozz.exe, откуда они и качались. Удаляю, Unlocker пишет заблокировано процессом svchost, убил процесс - пишет "аварийная перезагрузка через 30 сек, убили службу DCOM". Отключил службу, снёс папку Content.IE5 (кстати, у меня стоит IE6  )ща вроде всё норм, посмотрим...
Последний раз редактировалось travakur; 02.03.2009 в 13:05..
|
|
|
02.03.2009, 13:04
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
набери http://ohee.ru/retodozz.exe
|
|
|
|
02.03.2009, 13:07
|
|
Участник форума
Регистрация: 19.01.2008
Сообщений: 111
Провел на форуме:
769380
Репутация:
73
|
|
пройдись утилитой AVZ и почисть временные файлы вручную
или обратись сюда : http://virusinfo.info/forumdisplay.php?f=46
выполнив эти правила : http://virusinfo.info/showthread.php?t=1235
PS : это Trojan-Clicker по Kасперскому.
|
|
|
|
02.03.2009, 13:29
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
MaZaHaKer, Кстати, мож из-за него у меня не открывается твои ссылки http://virusinfo.info/forumdisplay.php?f=46, описания вирусов типа http://www.avira.com/en/threats/section/details/id_vir/3525/index.html (через перевод гугла открывается), не обновляется Avira (ставил Нод32, АВГ, Аутпост - не обновляются )????
|
|
|
|
02.03.2009, 13:42
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
Сообщение от neversmile
Salita может?
тут про нее десятки тем было
по запросу Salita поиск находит тока эту тему....
|
|
|
|
02.03.2009, 14:00
|
|
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
Провел на форуме:
3370466
Репутация:
96
|
|
собсна вот
Malware name Trojan.Crypt.XDR.Gen
Type Trojan
Affected platform Win32
Media-Type application/executable
MD5 checksum 4E0F29C062AF92C9E1AF19D4635BDB34
Static file yes
Filesize 158,720 Bytes
Alias names
(also known as) Sophos Troj/Agent-BUC
McAfee Generic.di
CA ETrust Win32/Pipown!generic
Protection Webwasher Anti Malware 6036.49.x
Side effects Drops a file
Drops malicious files
Registry modification
Propagation No own spreading routine
Description:
Files
копирует себя в слудещие папки
• %SYSDIR%\ISASS.exe
• %WINDIR%\Resources\Empty.bat
• %WINDIR%\Media\msconfig.bat
• %WINDIR%\security\kernel32.bat
• %WINDIR%\system32.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Temp.pif
• %SYSDIR%\LNETINFO.exe
• %home%\My Documents\Data %computer name%.exe
• %SYSDIR%\Kiamat.exe
• %home%\My Documents\%all subdirectories%\%current directory%.exe
создаёт файлы
– %WINDIR%\security\ms.inf
Registry
добавляет себя в реестр-
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "msconfig"="%WINDIR%\Media\msconfig.bat"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Kiamat Sudah Dekat_16_04"="%SYSDIR%\ISASS.exe"
The following registry key is added:
– HKCU\Software\Policies\Microsoft\CurrentVersion\Po licies\Explorer
• "NoFind"=dword:00000001
следущие ключи реестра после изменения
Disable Regedit and Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
New value:
• "DisableRegistryTools"=dword:00000001
• "DisableTaskMgr"=dword:00000001
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Old value:
• "Hidden"=%user defined settings%
• "HideFileExt"=%user defined settings%
New value:
• "Hidden"=dword:00000002
• "HideFileExt"=dword:00000001
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Old value:
• "Shell"="Explorer.exe"
New value:
• "Shell"="Explorer.exe "%WINDIR%\Resources\Empty.bat""
– HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
New value:
• "DisableCMD"=dword:00000001
|
|
|
|
02.03.2009, 14:05
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
neversmile, не похоже на Sality
|
|
|
|
02.03.2009, 14:13
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
swt1, Trojan.Crypt.XDR.Gen retodozz.exe, закачанный с http://ohee.ru/retodozz.exe - это следствие, а причина?
и описанные тобой ключи реестра не изменены
Последний раз редактировалось travakur; 02.03.2009 в 14:18..
|
|
|
|
02.03.2009, 18:36
|
|
Новичок
Регистрация: 25.02.2009
Сообщений: 13
Провел на форуме:
21291
Репутация:
0
|
|
Опять появился retodozz.exe!!!
В новом месте: Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CR63IBOV
Чё с ним делать???
так-же присутствует файл index.dat по томуже пути и второй здесь Documents and Settings\NetworkService\Local Settings\History\History.IE5
Последний раз редактировалось travakur; 02.03.2009 в 18:47..
|
|
|
|
02.03.2009, 19:05
|
|
Постоянный
Регистрация: 20.12.2007
Сообщений: 577
Провел на форуме:
1636674
Репутация:
171
|
|
Сообщение от travakur
набери http://ohee.ru/retodozz.exe
каспер утверждает, что это
Код:
Trojan-Clicker.Win32.Delf.cat
вообще пробуй КурИтом из сэйф мода под админом выковыривать
|
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Правда о докторе Айболите
|
Дрэгги |
Болталка |
17 |
30.09.2006 13:34 |
|
Майкл Делл
|
novichok |
Чужие Статьи |
0 |
29.03.2006 21:51 |
|
Пиянство
|
mifan |
Болталка |
18 |
03.09.2004 12:36 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
