 |
eXeL@B —› Оффтоп —› Троян #2 |
| Посл.ответ | Сообщение |
|
|
Создано: 25 июня 2008 11:23 · Личное сообщение · #1 Тема "прислали трояна - успешно" куда-то пропала, так что скину новенькое сюда. Получил сиё вместе с флешкой - запустилось после захода на неё. Что странно, у меня autorun отключен. Вообщем на флешке было парой - autorun.inf и hovrflst.bat. Оба скрытые и системные. Пропалил всё это у меня TrafficCompressor, любезно спросив, нужно ли включать сжатие для iexplorer, запущенного HIDE =) Судорожно заметавшись, обнаружил autorun.inf и hovrflst.bat в корне каждого диска, kavo.exe в автозагрузке и kavo0.dll в system32. Причём последний уже успел уютно приаттачиться к explorer. Желание включить просмотр скрытых и системных файлов было жёстко обломанно - тупо после ОК в Свойствах Папки всё возвращалось как было. Короче, потёр автозагрузку, автораны, hovrflst.bat, заребутился. Вроде всё, ничего не аттачиться, но поставить "Показывать скрытые файлы и папки" всё равно не даёт =\ Кому интересно - www.sendspace.com/file/ml0wk9 - hovrflst.bat  |
|
|
Создано: 25 июня 2008 11:28 · Личное сообщение · #2 Freecod Кхе кхе... http://exelab.ru/f/action=vthread&forum=2&topic=6500 или http://www.exelab.ru/f/action=vthread&forum=2&topic=6500 ----- Computer Security Laboratory |
|
|
Создано: 25 июня 2008 11:29 · Личное сообщение · #3 Тема на месте в подфоруме - Крэки, обсуждения: http://www.exelab.ru/f/action=vthread&forum=2&topic=6500&p age=35 |
|
|
Создано: 25 июня 2008 11:31 · Личное сообщение · #4 1) Пуск --> Выполнить... Пишем regedit и нажимаем «Enter». 2) Находим ключик: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde r\Hidden\SHOWALL - Удаляем параметр CheckedValue в правом окне. 3) Щёлкаем правой кнопкой мыши в этом же окне (справа) и выбраем «создать --> параметр DWORD». Называем его CheckedValue. Cтавим значение «1» (0x00000001) и нажимаем ОК. 4) Заходим в «Сервис» --> «Свойства папки» --> «Вид», находим «Скрытые файлы и папки», отмечаем «Показывать скрытые файлы и папки». ----- Nulla aetas ad discendum sera |
|
|
Создано: 25 июня 2008 11:35 · Личное сообщение · #5 [HEX] пишет: http://exelab.ru/f/action=vthread&forum=2&topic=6500 Хм. А поиском по "Прислали" "трояна" "успешно" - ничего не найдено =\ |
|
|
Создано: 25 июня 2008 11:46 · Поправил: [HEX] · Личное сообщение · #6 Freecod Удалить файлы WINDOWS\system32\drivers\vga.sys - заранее скопировать куданить в безопасное место чтобы потом сравнить с оригиналом. WINDOWS\system32\dllcache\vga.sys WINDOWS\system32\kavo.exe WINDOWS\system32\kavo0.dll WINDOWS\system32\kavo1.dll или WINDOWS\system32\tavo.exe WINDOWS\system32\tavo0.dll WINDOWS\system32\tavo1.dll + Почистить темповую юзерскую диру Заглянуть в папку WINDOWS и поискать недавно созданые файлы 2.exe, tt.exe может что то и другое быть. Файлы будут скрытые. Убить сервис KAVsys - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KAVsys А по поводу скрытия чего либо смотри сюда HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer и читай хотябы это www.delphikingdom.com/asp/viewitem.asp?catalogid=1287 Ну и тянет всякую заразу отсюда hxxp://61.162.230.89/jj/cc.rar - конфиг наверное hxxp://61.162.230.89/jj/cc.exe - сама зараза ----- Computer Security Laboratory |
|
|
Создано: 25 июня 2008 12:09 · Личное сообщение · #7 Flint, [HEX] - спасибо, добил последние останки. Заодно набрёл и отрубил всякий авторан в системе (раньше был только CD) |
|
|
Создано: 25 июня 2008 13:29 · Личное сообщение · #8 Две темы - это круто, пишем в одну 
|
|
eXeL@B —› Оффтоп —› Троян #2 |
Для печати