Зацепил трояна.

← →
Сатир (2007-05-18 15:42) [0]

Вот такой сабж:
1)Win32.Trojan.Agent
2)BackDoor.HackDefender.
Симптомы:
1)При открытии IE выдаёт такую мессагу
---------------------------
16-разрядная подсистема MS-DOS
---------------------------
C:\WINDOWS\CRYPTE~1.EXE
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0e58 IP:01a7 OP:63 68 61 72 73 Для завершения работы приложения нажмите кнопку ""Закрыть"".
---------------------------
Закрыть Пропустить
---------------------------
2)Завалил оперу. При попытке запуска последней не может найти Opera.dll
3) Задизейблил антивирус McAfee 8. Висит в трее, но перестал проводить мониторинг файлов, кнопка включения антивируса стала неактивной.

Других пакостей пока не заметил.

У кого есть похожий опыт и что порекоммендуете препринять.
Пока запустил только AdAware, с помощью которой выяснил названия этого трояна и сделал карантин последнего.
На порядке дня переставить антивирус и оперу.
Есть несколько других антивирусов, какой порекоммендуете.
Заранее благодарен всем отметившимся в этой ветке:)

← →
Сатир (2007-05-18 15:47) [1]

Вот нашел ещё вот эту софитину
C:\WINDOWS\CRYPTE~1.EXE - crypteddos.exe
пока просто переименовал

← →
antonn © (2007-05-18 16:23) [2]

просмотри надстройки в ИЕ, может туда что запихало...

← →
Сатир (2007-05-18 16:34) [3]

> просмотри надстройки в ИЕ, может туда что запихало...

какие именно? Есть какой-то ключ реестра или пункт меню?

После переименования ошибка при открытии ИЕ больше не возникает...

← →
alien1769 © (2007-05-18 16:42) [4]

Есть такая утилитка CLrav.exe. 300Kb

← →
Сатир (2007-05-18 16:54) [5]

А теперь самое интересно:
в ФАРе открыл это пресловутый файлик crypteddos.exe и вот что я в нём увидел:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-1251">
<TITLE>ОШИБКА: Доступ к кэшу запрещён.</TITLE>
<STYLE type="text/css"></STYLE>
</HEAD>
<BODY>
<H1>ОШИБКА</H1>
<H2>Доступ к кэшу запрещён</H2>
<HR noshade size="1px">
<P>
Во время доставки URL:
<A HREF="http://hernet.info/load/crypteddos.exe">http://hernet.info/load/crypteddos.exe</A>
<P>
Произошла следующая ошибка:
<UL>
<LI>
<STRONG>
Доступ к кэшу запрещён
</STRONG>
</UL>
</P>

<P>Извините, Вы не можете запросить:
<PRE> http://hernet.info/load/crypteddos.exe</PRE>
из этого кэша до тех пор, пока не пройдёте аутентификацию.
</P>

<P>
Для этого Вам необходим Netscape версии 2.0 либо выше, или Microsoft Internet
Explorer 3.0, или HTTP/1.1 совместимый броузер. Пожалуйста свяжитесь
с <A HREF="mailto:webmaster">администратором кэша</a>, если у Вас возникли проблемы
с аутентификацией, либо <A HREF="http://inet.welcash.kiev.ua/cgi-bin/chpasswd.cgi">смените</a>
Ваш пароль по умолчанию.
</P>

<BR clear="all">
<HR noshade size="1px">
<ADDRESS>
Generated Fri, 18 May 2007 11:45:27 GMT by inet.welcash.kiev.ua (squid/2.6.STABLE12)
</ADDRESS>
</BODY></HTML>

← →
Сатир (2007-05-18 16:57) [6]

поиск в инете по ключевому слову "crypteddos.exe" результатов не принёс.
вот такие пироги...

← →
Сатир (2007-05-18 17:08) [7]

пока я тут с вами обсуждал свою беду, он таки смог себя загрузить.
теперь файлик crypteddos.exe весит 23453 байта и внешне похож на исполняемый бинарник
так что пришлось обратно вернуть тот старый, в котором содержался ответ сервера, но и вернулась ошибка загрузки эксплорера

← →
homm © (2007-05-18 17:15) [8]

> Симптомы:
> 1)При открытии IE выдаёт такую мессагу

Глупый вопрос можно? :) Зачем его открывать?

← →
keymaster © (2007-05-18 17:21) [9]

Касперский+аутпост рулят...

← →
Карелин Артем © (2007-05-18 18:57) [10]

> keymaster © (18.05.07 17:21) [9]
> Касперский+аутпост рулят...

Присоединяюсь!

← →
homm © (2007-05-18 21:44) [11]

Почему-то когда рулит касперский, он из Р4 РII делает.

← →
antonn © (2007-05-18 21:50) [12]

> Почему-то когда рулит касперский, он из Р4 РII делает.

не надо так свято верить слежбе АБС, либо сменить свой PIV 1.5/256/133

← →
homm © (2007-05-18 21:54) [13]

Я не знаком с понятием «слежба АБС».

> либо сменить свой PIV 1.5/256/133
Лаборатория Касперского оплатит апгрейд?
Дело не в количестве оперативы вовсе. Если касперу диск с архивами подсунуть, то это все, атас. А нод почему-то спокойно работает, при том что действительно работает.

← →
{RASkov} © (2007-05-19 00:19) [14]

Касперский без спорно хороший антивирус, но я сам им не пользуюсь и не кому не рекомендую, ибо он тормоз. Да... у меня не сильная машина, даже если у будет довольно таки сильная тачка, все равно ставить его не буду, так как есть альтернативы, например Nod, которые делают тоже самое, простые в обращении, незаметные в работе, и т.д. и нафик этот, хоть и хороший, но монстр Каспер.??? Были времена когда он действительно был отличным антивирусом, но.... разажрались.... имхо.

← →
turbouser © (2007-05-19 00:29) [15]

> keymaster © (18.05.07 17:21) [9]
>
> Касперский+аутпост рулят...

Касперский для unixmailservers еще более менее, однако для десктопов - нафиг нафиг...
Аутпост тоже в топку. Круче BlackICE, по моему мнению лучше только
правильно настроенный wipfw :)

← →
Ketmar © (2007-05-19 04:03) [16]

AVZ+руки. AVZ сносит всякие левые дрова/перехватчики, потом руками мочишь весь мусор.

← →
keymaster © (2007-05-19 12:48) [17]

> Касперский без спорно хороший антивирус, но я сам им не
> пользуюсь и не кому не рекомендую, ибо он тормоз

А настраивать его вы не пытались?
У меня единственный замеченый минус - комп стал немного дольше грузится.
А NOD - отстой.
Ибо стоял он у меня и верил я ему. Но сразу после установки, касперский нашел бяку. Чем полностью заслужил доверие, выраженное в оплате годовой лицензии.

К слову сказать, бяка была трояном, пытавшимся регулярно что-то передать в сеть, но аутпост не пускал. Что тоже радует.

← →
Anatoly Podgoretsky © (2007-05-19 13:39) [18]

> keymaster (19.05.2007 12:48:17) [17]

Так подобные антивирусы этим и отличаются, суют в свою базу что ни попадя, в надежде на подобных доверчивых пользователей и получения от них гешефта. Касперский не предел, есть другие у которых база шире примерно на 50000 "вирусов" - вот туда надо было нести деньги.

← →
TIF © (2007-05-19 14:02) [19]

А что с ним Каспер делает?

← →
keymaster © (2007-05-19 14:21) [20]

> А что с ним Каспер делает?

Каспер его прибил.

> Так подобные антивирусы этим и отличаются, суют в свою базу
> что ни попадя

А нафиг мне нужен антивирус, который что-то пропускает?

← →
Anatoly Podgoretsky © (2007-05-19 15:10) [21]

> keymaster (19.05.2007 14:21:20) [20]

А нафиг нужен антивирус, который удаляет нормальные файлы, из-за того, что у авторов фикс идея количественного побития конкурентов.
Последствия от этого тяжелые

← →
keymaster © (2007-05-19 15:19) [22]

> А нафиг нужен антивирус, который удаляет нормальные файлы

А если нормальный файл вылечить не удается?

з.ы.
в это раз удалось.

← →
{RASkov} © (2007-05-19 15:25) [23]

> [17] keymaster © (19.05.07 12:48)
> А настраивать его вы не пытались?

Да... бесит еще и настраивать его...

> У меня единственный замеченый минус - комп стал немного дольше грузится.

и немного дольше "думать"....
Ага. Это его большой минус.

> А NOD - отстой.

Может быть.... в твоих глазах, но меня он вполне устраивает, вовремя обновляю и проблем не вызывает, у них(каспер и нод) разный алгоритм обнаружения вирусов - каспер "рубит" сразу все, а нод только в случае реальной угрозы (Например при копировании архива с вирусом, каспер блокирует а нод разрешит, но при обращении к архиву поднимет защиту) тем самым увеличивая общую скорость системы.

> К слову сказать, бяка была трояном, пытавшимся регулярно
> что-то передать в сеть, но аутпост не пускал. Что тоже радует.

Больше ходим по порно сайтам... У меня и у Нода не всегда резидент загружен и ниче...
ЗЫ Я не отговариваю от каспера, но на домашних машинках, ему делать нечего.
ЗЫЫ У Каспера еще и с его удалением, помоему, проблемы были... так? Т.е. он вместе с системой сносится ;)

← →
Anatoly Podgoretsky © (2007-05-19 15:56) [24]

> {RASkov} (19.05.2007 15:25:23) [23]

> ЗЫ Я не отговариваю от каспера, но на домашних машинках, ему делать нечего.

А на серверах антивирусу вообще делать нечего.

← →
VirEx © (2007-05-19 16:28) [25]

> [24] Anatoly Podgoretsky © (19.05.07 15:56)

есть версия каспера 6го для сервера, вот незнаю ставить или нет

> Ибо стоял он у меня и верил я ему. Но сразу после установки,
> касперский нашел бяку. Чем полностью заслужил доверие,
> выраженное в оплате годовой лицензии.

Обратных примеров не меньше, а то и больше. Тебе просто так повезло.

> [15] turbouser ©
> Круче BlackICE, по моему мнению лучше только
> правильно настроенный wipfw

Какашка на полчке какая-то этот BlackICE. В конце установки завис. Удаляться не хочет. Вычистил файлы, при попытке повторно поставить говорит «неверная папка», при чем без разница какая. Вернулся к NetLimiter.

> ЗЫ Я не отговариваю от каспера, но на домашних машинках,
> ему делать нечего.ЗЫЫ У Каспера еще и с его удалением,
> помоему, проблемы были... так? Т.е. он вместе с системой
> сносится ;

Имхо - каспер одно из лучших решений для дома.
Сносится он отлично. При необходимости.

Хочу попробовать kaspersky internet security, посмотреть, как он в качестве файрвола будет работать.

> Имхо - каспер одно из лучших решений для дома.
> Сносится он отлично.

:)))

← →
Сатир (2007-05-20 10:18) [31]

> AVZ+руки. AVZ сносит всякие левые дрова/перехватчики, потом
> руками мочишь весь мусор.

а кто такой AVZ?

> [31] Сатир (20.05.07 10:18)

Антивирус Зайцева

угу. он самый. http://www.z-oleg.com/secur/avz/

← →
Сатир (2007-05-20 13:53) [34]

thnX

Ketmar © (20.05.07 13:52) [33]
а на сервак 2003 он встанет ? а то с тех пор как авира прикрыла эту лавочку(больше не поддерживает сервачную платформу), ищу что-нибудь ещё бесплатное и могущее обновляться из нета ...

хм. интересный этот avz, обнаружил мою старую библиотеку (D7), по управлению удаленным компом как "подозрение на Trojan-PSW.Win32.Lmir.bge", притом ранее ни нод ни каспер 6й его не трогали)

Зацепил трояна. Найти похожие ветки