• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Какой-то следящий троян , HELP (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

Magic_Mushroom

Уважаемый пользователь
Форумчанин
Регистрация
30.06.2014
Сообщения
178
Репутация
78
в общем обнаружил какой-то троян, что это и как с ним бороться?
скан avz

2 desktop.ini c рабочего стола

скрин всех процессов
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 775
Просканируй чем-нибудь обычным:курейтом или Kaspersky Rescue Disk.AVZ для профессионалов,половина из того,что он показывает-ложная тревога.Так что этой утилитой можно больше навредить системе если неумело пользоваться.Ну или почитай ман по AVZ.
 

Magic_Mushroom

Уважаемый пользователь
Форумчанин
Регистрация
30.06.2014
Сообщения
178
Репутация
78
сканирую сейчас нодом
а что на счет desktop.ini?
что-то очень подозрительные строчки там
 

Magic_Mushroom

Уважаемый пользователь
Форумчанин
Регистрация
30.06.2014
Сообщения
178
Репутация
78

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
334
Этого скрина АВЗ недостаточно для диагноза. По нему видно лишь одно: сплайсингом перехвачены несколько фунок в юзермоде в либе user32, которые отвечают за дисплей\окна. Сделать это мог либо нод, либо еще какая-то тулзень. Нод мог сделать это для двух целей: отслеживание винлоков или определение полноэкранного игрового режима. На память не помню делает ли он такие перехваты или нет, но на троян это вообще не похоже - слишком нетипичные перехваты для трояна, хотя на 100% исключить трояна нельзя. Потому согласен с идеей проверки CureIt-ом и Avptool от каспера. Если они ничего не найдут, то вряд ли есть какая-то зараза. Вот рекламу (тулбар\левые настройки браузера, что ведет к рекламе) они могут и не найти, а вот живую малварь в системе, которая ставит хуки - точно найдет хотя бы один.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 406
Репутация
7 895
Telegram
Кстати CureIt обнаруживает "Легальные" программы типо там РМС и т.д., поэтому тоже рекомендую просканить разок, если там что-то внедрилось из "Легального" софта должен как минимум уведомить ! ;)

Что касается desktop.ini файлов, то по идеи эти файлы нужны для как минимум хранения настройки значка папки и права доступа и т.д.

Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...WinkSmile
 

Rufus

Уважаемый пользователь
Форумчанин
Регистрация
14.12.2014
Сообщения
247
Репутация
142
Jabber
Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...WinkSmile
Просто у него в настройках папки,включено "Показ скрытых системных файлов".
 

Magic_Mushroom

Уважаемый пользователь
Форумчанин
Регистрация
30.06.2014
Сообщения
178
Репутация
78
Просто у него в настройках папки,включено "Показ скрытых системных файлов".
да:)
Что касается desktop.ini файлов, то по идеи эти файлы нужны для как минимум хранения настройки значка папки и права доступа и т.д.

Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...WinkSmile
меня просто смутила вот эта строчка, поэтому и выложил их
Remote Desktop Connection.lnk=@%SystemRoot%\system32\mstsc.exe,-4000
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 406
Репутация
7 895
Telegram
да:)

меня просто смутила вот эта строчка, поэтому и выложил их
Remote Desktop Connection.lnk=@%SystemRoot%\system32\mstsc.exe,-4000
Ну по моему мнению ничего страшного...

Секция LocalizedFileNames - Позволяет управлять отображаемыми именами файлов данной директории.

Если по простому, то если например необходимо переместить стандартный ярлык отображаемый как "Удалённый рабочий стол" (А файл mstsc.exe это именно он и есть) (настоящее имя Remote Desktop Connection.lnk) на рабочий стол, с помощью проводника, или чего либо, то он будет отображаться как "Remote Desktop Connection"...

Если честно неочень понимаю для чего это нужно, но вредоносного ничего в этом нет...

Вот остальные секции можете посмотреть:https://ru.wikipedia.org/wiki/Desktop.ini

Что-то такого вредоносного или "Шпионского" в этих файлах вроде нет-же !Не въехал!!!