примерно неделю назад он появился в папке temp, удаление не помогает - сам восстанавливается после ребута...
пока особо деструктивных действий не заметно, иногда инет вылетает

| Сообщение посчитали полезным:

вот ссылка:
slil.ru/25114455
определяется как
winxxax.exe packed by UPX
In file >winxxax.exe probably found virus DLOADER.Trojan
спрашиваю здесь,потому что в инете не нашёл никакой инфы

| Сообщение посчитали полезным:

Если сам восстанавливается после ребута, то гляди в автозагрузку, откуда он запускается.
Дизассемблировал, но походу пошифрованы некоторые строки. Судя по всему обычный трой. Проверь настройки IE, если пользуешься им, походу трой там что-то меняет.
Вари сейчас нету, а запускать на основной машине неохота, поэтому подробнее немогу пока сказать.

| Сообщение посчитали полезным:

системную папку просканил,особо ничего нет:
d:\windows\csrss.exe >>>>> Trojan-PSW.Win32.LdPinch.boi
Количество загруженных модулей: 345
d:\windows\system32\wmdrtc32.dll >>>>> Email-Worm.Win32.Warezov.et
Проверка памяти завершена
3. Сканирование дисков
D:\WINDOWS\csrss.exe >>>>> Trojan-PSW.Win32.LdPinch.boi
D:\WINDOWS\sbhks.dll >>>>> Keylogger.Win32.SpyBuddy.36
D:\WINDOWS\sbtril32.dll >>>>> Keylogger.Win32.SpyBuddy.36
D:\WINDOWS\system\WinStart001.EXE >>>>> Spy.IGetNet
D:\WINDOWS\system32\AdCache\Temp\CD_CLINT.DLL >>>>> AdvWare.Cydoor
D:\WINDOWS\system32\cd_htm.dll >>>>> AdvWare.Cydoor
D:\WINDOWS\system32\H@tKeysH@@k.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll
D:\WINDOWS\system32\VCDCDDB.dll >>> подозрение на Backdoor.Win32.Agent.ale ( 006C03F6 003492AF 001C71E4 00210A30 61440)
D:\WINDOWS\system32\wmdrtc32.dll >>>>> Email-Worm.Win32.Warezov.et

в основном спам-софт и кейлоггеры,так что вирь Винду сносить не собирается,а скорее всего из инета разную гадость качает

| Сообщение посчитали полезным:

НУ, обмануть антивирь не такая уж и большая задача.
Вот утилита от sysinternalis для просмотра всех автозагрузок.
Смотри и ищи палевные процессы.


c4bf_17.11.2007_CRACKLAB.rU.tgz - autoruns.rar

| Сообщение посчитали полезным:

кароч:

читаед из себя участок памяти и превращаед его в URL [рипед]

1. записываецо в "SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPol icy\StandardProfile\AuthorizedApplications\List"

2. выключаед "Software\Microsoft\Windows\CurrentVersion\Internet Settings" -> GlobalUserOffline (работать автономно)

3. отсылаед запрос на "http://morpheus.testme567.info/ + данные такого вида ?ccciiii=iiiiiii"
4. есле удачно, то создает файло (у мну FileName = "C:\WINDOWS\system32\8eb1cce.exe")
5. дальше читаед ответ сервера и пишед его в этот файл
6. запускаед его CreateProcess'ом

а уж чо там - йахз, ибо не дал ему сеть, а файло читаецо полностью из сети..

ТС - найди у себя такой\подобный файл, запороль архивом и выложи!

-----
invoke OpenFire

| Сообщение посчитали полезным:

Ice-T
Sturgeon
благодарю за инфу,если ещё что накопаете - пишите тоже сюда

| Сообщение посчитали полезным:

Kycok Caxapa дурень:

Ice-T пишет:
ТС - найди у себя такой\подобный файл, запороль архивом и выложи!

-----
invoke OpenFire

| Сообщение посчитали полезным:

Ice-T пишет:
ТС - найди у себя такой\подобный файл, запороль архивом и выложи!
у меня ничего подобного не происходит,там троян не один - их целое семейство
(когда опять регенерируются,я их все в архиве выложу,там 300 кб будет отсилы)
А коннектиться вроде пытается к какому-то share-admin.info ,аська ещё вылетает постоянно из за этого
Сейчас просто подключение через сеть Ethernet,и один из портов открыт вообще. Может какой умник мне по аське эту гадость прислал...

| Сообщение посчитали полезным:

фтопку

-----
invoke OpenFire

| Сообщение посчитали полезным:

ps На Vista тоже этот троян переполз,причём на чистую.. похоже в boot-секторе прописался как то
И ещё Nero7 стала писать что её файлы заражены вирусом и надо переустановить типа. хз связано ли это с трояном или просто так совпало

| Сообщение посчитали полезным:

вот такое окно вылетает когда вирь сам себя из инета выкачивает:

в аттаче некоторые из его файлов,не все:

48f1_17.11.2007_CRACKLAB.rU.tgz - virus.rar

| Сообщение посчитали полезным:

Kycok Caxapa, нихера се у тя зоопарк)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

эмм... этот троянчег походу получаед от скрипта все время разные версии, автору остаецо тока сидеть дома и придумывать новых засранчеков... хотя могу ошибацо конечно ))

КусокСахара, форматируй нах винт, ты заипешься вычищать это дерьмо! и фаервол поставь....

-----
invoke OpenFire

| Сообщение посчитали полезным:

Kycok Caxapa
Ставь Каспера(KIS желательно последнюю версию, хоть ключик сложно достать, но зато результат) + голову. Желательно каспера настроить на автоматическое блокирование/лечение/удаление. Единственное оставь на "запрос пользователя" проактивку и всё аналогичное(монитор реестра , контроль целостности и тд). Если за компом работает часто кто-то другой, то аоставь всё на максимум.

-----
моя подпись!

| Сообщение посчитали полезным:

locker_fx
8ка каспера вырубается древними методами. так что при таком зоопарке, вероятносто того, что какой-то вирь может его прибить, - стремится к 1

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

tnt17 пишет:
8ка
А разве уже вышла? У меня 7-ка стоит...я доволен
Щас на офф сайте посмотрю насчёт 8-ки....

-----
моя подпись!

| Сообщение посчитали полезным:

downloads1.kaspersky-labs.com/devbuilds/8.0.0.56/KAV/kav.en.msi

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

del

-----
моя подпись!

| Сообщение посчитали полезным:

tnt17 пишет:
downloads1.kaspersky-labs.com/devbuilds/8.0.0.56/KAV/kav.en.msi
ЗЫ. А на главной ни слова. Кстати в продуктах я тоже его не нашёл. Может это ещё тестовая версия?

-----
моя подпись!

| Сообщение посчитали полезным:

я без понятия, пишется что альфа. ну да ладно, нах этот авер. баги остались старые, так что пох что за версия.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

tnt17 пишет:
я без понятия, пишется что альфа. ну да ладно, нах этот авер. баги остались старые, так что пох что за версия.
сам ответил откуда баги - альфа!

-----
моя подпись!

| Сообщение посчитали полезным:

locker_fx не про эти баги он говорил..

-----
invoke OpenFire

| Сообщение посчитали полезным:

Так! Мы тут вообще то троян обсуждаем,а не каспера
Ice-T пишет:
этот троянчег походу получаед от скрипта все время разные версии, автору остаецо тока сидеть дома и придумывать новых засранчеков... хотя могу ошибацо конечно ))

По моему у меня через Opera 8.5 эта гадость влезла. Я почти на 80% уверен в этом

| Сообщение посчитали полезным:

Kycok Caxapa при чом тут браузер? через интернет она у тебя залезла....

-----
invoke OpenFire

| Сообщение посчитали полезным:

www.shared-admin.com ,отсюда лезет вирус

| Сообщение посчитали полезным:

Kycok Caxapa пишет:
По моему у меня через Opera 8.5 эта гадость влезла.
Влезло оно через то, что ты качаешь и запускаешь у себя всякую хренотень. Я почти на 100% уверен в этом.
Ice-T опередил немного
У меня Опера 9.21. Ни фаерволов, ни антивирей не стоит. Винда пашет два года. Порнуху не качаю. Кряки с сомнительных серваков не сливаю. Радуюсь жизни.
Один раз приполз червячок. Был отпрепарирован и выброшен.

| Сообщение посчитали полезным:

Как убить скрипт,через который вирь себя закачивает на комп?

| Сообщение посчитали полезным:

никак.. это пхп скрипт, он исполняется на сервере

-----
invoke OpenFire

| Сообщение посчитали полезным:

Kycok Caxapa пишет:
И ещё Nero7 стала писать что её файлы заражены вирусом и надо переустановить типа. хз связано ли это с трояном или просто так совпало
Ну что ты, конечно это совпадение.

SLV пишет:
Kycok Caxapa, нихера се у тя зоопарк)
+1

Kycok Caxapa пишет:
По моему у меня через Opera 8.5 эта гадость влезла. Я почти на 80% уверен в этом
А ты взломщик интернета не ставил случайно ?

Kycok Caxapa пишет:
D:\WINDOWS\csrss.exe >>>>> Trojan-PSW.Win32.LdPinch.boi
Переставляй всё нах...
И меняй все пароли.

| Сообщение посчитали полезным: