да-да, спасибо. но открыт вопрос о его связи с другими файлами...
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Подцепил вирь?
- Автор темы Winux
- Дата начала
Trojan-Dropper.Win32.Wlord
Сегодня просматривал папку темпр,и обнаружил подозрительный файлег с расширением .exe и весом ~50кб, отправил на онл.проверку ав ,большенство ав кричало ,что это конь(Trojan-Dropper.Win32.Wlord),заюзав поиск толком ни чего не нашёл о нём.В общем мне интересно ,что за эта малварь и не опасно ле она для системы?
вот сам файл.
_hxxp://www.sendspace.com/file/d721vm
pass;1
Сегодня просматривал папку темпр,и обнаружил подозрительный файлег с расширением .exe и весом ~50кб, отправил на онл.проверку ав ,большенство ав кричало ,что это конь(Trojan-Dropper.Win32.Wlord),заюзав поиск толком ни чего не нашёл о нём.В общем мне интересно ,что за эта малварь и не опасно ле она для системы?
вот сам файл.
_hxxp://www.sendspace.com/file/d721vm
pass;1
Trojan-Dropper значит когда-то запускал склееные файлы, какая-то малвара + нормальная программа.
ну естессно тк 99% джойнеров распоковываються в темпр.мне нужно знать че за малварь то?
-SMith-
биг сенкс,взял сайтег на заметку.
биг сенкс,взял сайтег на заметку.
Вчера вечером поймал этот вирус, скрин внизу, скорее всего на сайте вареза. drweb его не видит. Искал инфу на форумах выеснил что это торян их 2 вида с синим экраном и красным, но этот с другим экраном правдо тоже синим как его убить подскажите плз. Пробывал проделать то что указано на форуме не выходит при перезагрузке окно запускается снова.
скорей всего в этой ветке подправлена
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_" убрать вторую запись
или
"Shell"="Explorer.exe" изменено имя проводника по умолчанию
тебе нужно каким-то образом убрать, а также посмотреть через загрузочный диск наверно последние созданные файлы в папке System32
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_" убрать вторую запись
или
"Shell"="Explorer.exe" изменено имя проводника по умолчанию
тебе нужно каким-то образом убрать, а также посмотреть через загрузочный диск наверно последние созданные файлы в папке System32
действительно все дело было в [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
а что именно ? там несколько интересных разделов есть
lisa99
;oAAdliAka93SaSkkakrlKdnDLrfqwDK1jiJa41k142r7qj09wa0q2Ak2s7ee
[AutoRun]
;qdfK2748oKCoikJwaUdlwjikwsJjes73oAAS1iakk9oAsac4kAO39i2SKsdd
;ia405f42oqkS73dokr4j9L4JqZKsrKi5awp5s714dOaaiDAiw3KJ3lKk7de1f2A2Al0Dake8Ddok03i
4wadLkL3aAisrwkArrDi5wS3Dkf432Zrk
;1Saaf6D235kr4Jwrd2J0oDfL4DiASkKkk3d9aJww3Kspri29j0XickKsOqspeKKj3HdKK7s28740dqa
wAk43i2rALi3clDLJa3aC72i35ks1erLai2Ade
shell\open\Default=1
;iaL4sls4A3D4iiwpOK90dA8qpeidaw74laawkLkj006icLssjwLq9kwo4DkAl1ar45wAs303ioi72ws
rajslk
;DZO3i9jiwk07alpfd4ssqD48kJaaloaam7XAlrAo2a2ia
все выделенное красным - это рабочий код, синим - это строки мусора (комментарий)
;oAAdliAka93SaSkkakrlKdnDLrfqwDK1jiJa41k142r7qj09wa0q2Ak2s7ee
[AutoRun]
;qdfK2748oKCoikJwaUdlwjikwsJjes73oAAS1iakk9oAsac4kAO39i2SKsdd
;ia405f42oqkS73dokr4j9L4JqZKsrKi5awp5s714dOaaiDAiw3KJ3lKk7de1f2A2Al0Dake8Ddok03i
4wadLkL3aAisrwkArrDi5wS3Dkf432Zrk
;1Saaf6D235kr4Jwrd2J0oDfL4DiASkKkk3d9aJww3Kspri29j0XickKsOqspeKKj3HdKK7s28740dqa
wAk43i2rALi3clDLJa3aC72i35ks1erLai2Ade
shell\open\Default=1
;iaL4sls4A3D4iiwpOK90dA8qpeidaw74laawkLkj006icLssjwLq9kwo4DkAl1ar45wAs303ioi72ws
rajslk
;DZO3i9jiwk07alpfd4ssqD48kJaaloaam7XAlrAo2a2ia
все выделенное красным - это рабочий код, синим - это строки мусора (комментарий)
Доброй ночи. Подцепил походу вирус.
Началось все с того, как компьютер при включении грузился, а потом зависал и так до тех пор пока не порезагрузиш. Сначала подумал, может винда(год не переустанавливал).Переустановил ,вроде все норм, установил NOD32 и пошло
и еще на диске С появился какой-то файл, со странным названием 2e1u6e7w9x2.exe.
Я проверил его на сайте virustotal.com, и вот что получил....
Подскажите что это такое???
Началось все с того, как компьютер при включении грузился, а потом зависал и так до тех пор пока не порезагрузиш. Сначала подумал, может винда(год не переустанавливал).Переустановил ,вроде все норм, установил NOD32 и пошло
Код:
16.08.2009 1:01:34 Защита в режиме реального времени файл C:\WINDOWS\system32\60.scr вероятно модифицированный Win32/Injector.WN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe.
16.08.2009 1:01:07 Защита в режиме реального времени файл C:\WINDOWS\system32\13.scr вероятно модифицированный Win32/Injector.WN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe.
16.08.2009 1:00:20 Защита в режиме реального времени файл C:\WINDOWS\system32\04.scr вероятно модифицированный Win32/Injector.WN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe.
16.08.2009 0:50:35 Защита в режиме реального времени файл C:\RECYCLER\S-1-5-21-1454471165-1801674531-725345543-1003\Dc1.exe вероятно модифицированный Win32/Injector.WN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\Explorer.EXE.
16.08.2009 0:40:41 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\drivers\lsass.exe вероятно модифицированный Win32/Injector.WN троянская программа очищен удалением (после следующего перезапуска) - изолированЯ проверил его на сайте virustotal.com, и вот что получил....
Подскажите что это такое???
тмп прячется в антивире, цеж это такое?
пожалуйста свяжитесь
Попробуй поставить другой антивирус, KIS, например. И провериться с новыми базами. Или переставляй систему и впредь не ходи по нехорошим сайтам с голыми тётями, там живут ужасные злые связки.
удачи
Флудер детектед?
При объёме информации, предоставленном ТС, более конкретных ответов ожидать и не стоит. Откуда мы знаем, что у него за система, железо, руки? Его проблема может появиться из-за миллиона причин, не обязательно из-за вируса.
При объёме информации, предоставленном ТС, более конкретных ответов ожидать и не стоит. Откуда мы знаем, что у него за система, железо, руки? Его проблема может появиться из-за миллиона причин, не обязательно из-за вируса.
спасибо, блин я уже сам давно разобрался, меня интересовали методы предовращения подобной фигни
Помогите пожалуйста.
Поймал странную ехе на компютере.
Кто может сделать реверс и сказать, что точно даная тварь делал у меня. Насколько я понял если АВ пишет бэкдор то это не гарантирует, что у мальвари действительно этот функционал.
пишите ПМ если сможете помочь. Благодарность в разумных пределах гарантирую.
вот что говорит вирустотал:
Поймал странную ехе на компютере.
Кто может сделать реверс и сказать, что точно даная тварь делал у меня. Насколько я понял если АВ пишет бэкдор то это не гарантирует, что у мальвари действительно этот функционал.
пишите ПМ если сможете помочь. Благодарность в разумных пределах гарантирую.
вот что говорит вирустотал:
Код:
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.01 Backdoor.Win32.Poison!IK
AhnLab-V3 5.0.0.2 2010.02.01 Win-Trojan/Poison.246407
AntiVir 7.9.1.154 2010.02.01 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.02.01 Backdoor/Win32.Poison.gen
Authentium 5.2.0.5 2010.01.31 -
Avast 4.8.1351.0 2010.02.01 Win32:VB-OAX
AVG 9.0.0.730 2010.02.01 BackDoor.Generic12.QXD
BitDefender 7.2 2010.02.01 Backdoor.Generic.237906
CAT-QuickHeal 10.00 2010.02.01 Backdoor.Poison.bbvu
ClamAV 0.96.0.0-git 2010.02.01 -
Comodo 3783 2010.02.01 Backdoor.Win32.Poison.bbvu
DrWeb 5.0.1.12222 2010.02.01 -
eSafe 7.0.17.0 2010.01.31 Win32.TRDropper
eTrust-Vet 35.2.7274 2010.02.01 -
F-Prot 4.5.1.85 2010.01.31 -
F-Secure 9.0.15370.0 2010.02.01 Backdoor.Generic.237906
Fortinet 4.0.14.0 2010.02.01 W32/Poison.BBVU!tr.bdr
GData 19 2010.02.01 Backdoor.Generic.237906
Ikarus T3.1.1.80.0 2010.02.01 Backdoor.Win32.Poison
Jiangmin 13.0.900 2010.01.28 Backdoor/Poison.ezk
K7AntiVirus 7.10.960 2010.01.29 Backdoor.Win32.Poison.bbvu
Kaspersky 7.0.0.125 2010.02.01 Backdoor.Win32.Poison.bbvu
McAfee 5879 2010.02.01 Generic BackDoor!bvi
McAfee+Artemis 5879 2010.02.01 Generic BackDoor!bvi
McAfee-GW-Edition 6.8.5 2010.02.01 Trojan.Dropper.Gen
Microsoft 1.5406 2010.02.01 -
NOD32 4824 2010.02.01 a variant of Win32/Injector.ARS
Norman 6.04.03 2010.01.31 -
nProtect 2009.1.8.0 2010.02.01 -
Panda 10.0.2.2 2010.02.01 Bck/PoisonIvy.E
PCTools 7.0.3.5 2010.02.01 Backdoor.Trojan
Prevx 3.0 2010.02.01 Medium Risk Malware
Rising 22.33.00.04 2010.02.01 -
Sophos 4.50.0 2010.02.01 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.31 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.02.01 Backdoor.Trojan
TheHacker 6.5.1.0.175 2010.02.01 Backdoor/Poison.bbvu
TrendMicro 9.120.0.1004 2010.02.01 BKDR_POISON.AED
VBA32 3.12.12.1 2010.02.01 Backdoor.Win32.Poison.bbvu
ViRobot 2010.2.1.2166 2010.02.01 -
VirusBuster 5.0.21.0 2010.02.01 Backdoor.Poison.VNW
Ну судя по названию можно сделаьб вывод что это дор для удалённого управления компом.
http://www.poisonivy-rat.com/ сайт авторов...
подари мне, тока зархивируй