Троян по аське

[Ptu]

кто знает как бототься с новым трояном?
сегодня получила его как сообщение по аске от друга, он использовал его аккаунт для сообщения типа Привет!ты в сети? вот сделал новый фотоальбом скачай сдесь - и файл типа xxxxxx/anime/mini-movie.exe
на русских форумах уже видела что народ борется, но такого русского языка я понять не в силах! Кто может помочь на нормальном русском или франзуском или хотя бы перевести на русский это:

mail.trojan .
после запуска вешает IEXPLORER.exe (20kb) в папку Автозагрузка.
в папку WINDOWS\ кидает файл csrss.exe (20 kb)
начинает жевает винтом в папки Windows,Program Files, ICQ-clons и наиболее распространенных программ ( а так же со случайно выборкой) кидает мелкие файлы (20-25 кб) с расширениями .*.scr, .*.exe, .*.pif в которых сидит троян, csrss вешает дополнительный поток к Svchost.exe, который собственно жует винт, и следит за ним. Iexplorer.exe следщит за наличием csrss.exe на случай его удаления из папки. если аккуратно убить оба файла, то винда не будет грузится т.к. csrss.exe стоит дебаггером для Explorer.exe, после поиска и убивания данного ключа в реестре винда жива. потом найти все левое файло и убить. вроде пока тихо.

з.ы. возможно для полноценного запуска вирусу нужен доступ в инет.

исследования проводились с помощью ProccesExplorer, RegMon,FileMon, в последствии NOD32. причина: с дуру запустил левое файл.

з.ы.2. установка НОД32 при наличии (Iexplorer, csrss) вируса привела к тому что винда перестала грузится пока сервис нода не был убран из автозагрузки.

Подключение к сети не обязательно.
Перед запуском файла (уж больно размер подозрительным показался), я заблочил файрволом любую активность, а позже еще и кабель выдернул.
На автозагрузку у меня никакие файлы не прописывались. Реестр был без изменений.
Попытки удаления самого файла iexplore.exe ни к чему не приводили - он появлялся заново.
Поэтому просто зашел из другой Винды и прибил папку IE целиком и все, к IE относящееся, из других мест (давно собирался это сделать - а тут такой повод клевый ...). Файл mini-movie.exe поместил в постепенно растущую коллекцию подобной гадости.

После всего этого никакой подозрительной активности больше не было. Попросил послушать траффик Магушников - они тоже подтвердили, что все нормально.
Левых файлов нигде нет.


_________________

[ALX]

Ptu, как бороться не ясно, т.к. не определено точно, что это за вирус или троян. Надо попробовать проверить файл например через онлайновую службу Касперского и, по возможности, Symantec (но там процедура сложная, надо действовать через карантин, да и реагируют они долго очень, как показывает мне моя практика). Не исключено, что этот вредитель им известен и тогда можно уже будет узнать как именно лечить и что точно он делает.

А приведённый Вами отрывок отчёта пользователя мало полезен, к сожалению.

[kaiafa]

Я, похоже, разобрался, что имели в виду авторы цитат. (На самом деле, я просто словил подобный вирус неделю назад, и пока лечился, понял, что подразумевалось в этих текстах )

ALX, наверно, был смущен тем, что отрывки противоречивы. По крайней мере, меня смутило именно это. Сообщение, на самом деле, очень информативное, но оно как бы распадается на две части, плохо состыкующиеся друг с другом. Такое ощущение, что описываются два похожих вируса, причем, авторы не очень точно передают суть.


В общем. Как боролся я.

Появился вирус. Антивирусная программа у меня есть, но в памяти она не висит. Сам дурак: увидел на попапе мультик, мне сообщили, что надо установить кодек. Т.к. адрес предложенного сайта был правдоподобным, я сдуру скачал. Сразу же появилась надпись - дескать, у вас обнаружены вирусы, а ваш клевый антивирус просит ввести код регистрации.

Т.к. никаких клевых антивирусов я не устанавливал, да и система, насколько я знаю, не должна сообщать о вирусах, понял, что кодек оказался не кодеком. В инспекторе задач снес процесс, который что-то вякал, затем удалил этот якобы "антивирус". В папке автозагрузки обнаружил левый файл - и его удалил. Поиском больше ничего не нашел.

На всякий случай, запустил adaware, он нашел волновавший меня вирус (это никакой не вирус, конечно, а примитивнейший троян, причем, маловредный), потер - ну и хорошо. Стал перезапускаться - а експлорер падает. Ну падает - и фиг с ним, без експлорера вполне можно работать. В сейфмоде (експлорер тоже падал, так что из консоли работал) запустил консольный drweb по папке WINDOWS - на первое время, этого достаточно. Тот нашел левую dll, удалил. А я тем временем обнаружил в реестре в Run ссылку на стертый троян, удалил ее - и експлорер стал нормально грузиться. Других вхождений вируса ни адавэйр, ни дрвеб, ни поиск по реестру не обнаружили.

[Kristinka]

Многие пользуются сайтом http://www.imageshack.us/ для загрузки фото.
Имейте ввиду, что в последние два месяца оттуда в ваши фото загружаются Трояны. Не далее, как сегодня там загружался Троян.
И если у вас нет анти-вируса, который их блокирует, то ваш компьютер, возможно, уже заражён.

Я также заметила, что на некоторых сайтах Троянами заражены баннеры.
Кликаешь на банер - и тут же антивирус вопит: "Осторожно, Троян!"
И все эти "нечаянные" загрузки Троянов становятся всё изощрённее и изощрённе...