Как убить Трояна?

Программное обеспечение, ОС, софт, железо.

Как убить Трояна?

Василиса Прекрасная » 17 июл 2007, 23:13

Если это сообщение можно отнести к какой-то другой теме - да простят меня модераторы)))
Но мне нужна помощь)))) Плиз, подскажите, как убить трояна, который засел в папку (system volume information) на С, который видимо сам же папку заблокировал, чтобы доступа не было... И нод его видит, но никаких действий не предлагает.... Более того нод видит его только если сканить весь С, если поставить скан только на этут папку- пишет, что все чисто... Ну и стественно, папка показывает, что она якобы пуста... А проводник и того пишет - неправильный путь папки.... В общем полный капут и хана.... :cry: :cry: :cry: :cry: :cry:
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

парамонов к » 17 июл 2007, 23:25

Выход один открывай Выполнить и пишешь C/formated (шутка :) )

Попробуй аутпостом накрыть, у меня было такое, в кукисы залез и не вылазить гад, аутпост его прикрыл, может и тебе поможет ;)
Изображение
Аватара пользователя
парамонов к
Старый Админ
 
Сообщения: 4308
Зарегистрирован: 20 ноя 2005, 14:13

bomjik » 17 июл 2007, 23:36

переставляй винду, троян цуко злой
РЕШИЛ ЖИТЬ ВЕЧНО!!!
пока получается....
Аватара пользователя
bomjik
Йа ахотнег
 
Сообщения: 1708
Зарегистрирован: 31 мар 2005, 14:36
Откуда: Питер

Василиса Прекрасная » 17 июл 2007, 23:45

переставлять винду надо.. знаю.... но это замороченно... а я хотела бы узнать какое-нибудь быстрое решение....
Спасибо, что быстро откликнулись))))) :)
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

Василиса Прекрасная » 17 июл 2007, 23:47

пробую по совету кости аутпост запустить..... рррр... вчера только одно убила... и проблем не было... а тут залез, гад.... и забаррикадировался((((
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

PictureMan » 18 июл 2007, 00:12

NOD с троянами не очень.
Попробуй KAV :)
Современная цивилизация - обмен ценностей на удобства. (с)
Аватара пользователя
PictureMan
Модератор
 
Сообщения: 152
Зарегистрирован: 16 фев 2007, 20:06
Откуда: Холодно, влажно... И солнца нет...

Василиса Прекрасная » 18 июл 2007, 00:29

... с касперским дела обстояли раньше еще хуже.....(((((

одного не пойму - трояны - это программы одного типа.... чего ж тогда антивирусник одного вчера поймал, а второго видит, но не ловит?

кстати, аутпост ничего не нашел :cry: :cry: :cry:

может, еще есть какие-нибудь не глобальные способы?
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

Василиса Прекрасная » 18 июл 2007, 00:41

Сиуация такова: вирус же находится в папке имеющей отношение к аудиопроге на ноуте.... А диспетчер задач показал, что некий экзешный процесс RTHDCPL кушает много памяти...

Если эти сведения как-то помогут вам помочь мне (гыыы), я буду очень рада))))))))
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

PictureMan » 18 июл 2007, 00:53

RTHDCPL - нужный процесс имеющий отношение к аудиопроге. Его еще называют Realtek HD Audio Control Panel.
Как называется троян? его имя?
Современная цивилизация - обмен ценностей на удобства. (с)
Аватара пользователя
PictureMan
Модератор
 
Сообщения: 152
Зарегистрирован: 16 фев 2007, 20:06
Откуда: Холодно, влажно... И солнца нет...

Василиса Прекрасная » 18 июл 2007, 01:17

rthdcpl.exe -процесс, использующийся контрольной панелью Realtek HD Audio Control Panel и устанавливающийся с различными звуковыми картами Realtek ... это я ужо прочла в нете... просто я не помню, чтобы этот процесс много памяти занимал... может просто внимания не обращала.... меня напрягло, что трояна не было недавно...

Что касается названия вируса: C:\System Volume Information\_restore{5E675009-198E-4ECD-9AB1-7D5898D22F2E}\RP124\A0020974.exe - Win32/PSW.LdPinch.NCB троян
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

Василиса Прекрасная » 18 июл 2007, 01:19

PSW.LdPinch.NCB

Вот что о нем написано в нете:

Технические детали
Семейство "троянских коней", ворующих пароли пользователя.

При запуске троянец прописывается в ключ автозапуска системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
putil = %windir%\%имя_файла%
Затем копирует себя в каталог Windows, запускается оттуда, а исходный файл удаляет.
"Троянец" собирает сведения о системе (версия ОС, конфигурация аппаратного обеспечения) и пароли для различных сервисов и прикладных программ, в том числе RAS, POP3, IMAP, ICQ, FTP и т.д.

Собранная информация кодируется с помощью MIME (Base64) и отправляется на электронный адрес злоумышленника через SMTP-сервер, IP-адрес которого записан в теле "троянца".
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

Василиса Прекрасная » 18 июл 2007, 01:22

открыла общий доступ к этой папке: SVI (system volume information).... и только так появилась возможность удалить ее... но там могут быть нужные файлы?
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

Василиса Прекрасная » 18 июл 2007, 01:35

Судя по тому, что написано про вирус, он ломает сайты ("индексные") ну и получает пароли пользователей сайта...... предполагаю, кто-то упорно ломает сайт http://morshansk.ru/ или непосредственно форум и засылает коня....

http://www.forum.infobox.ru/viewtopic.php?t=3043

Возможно я не права и чего-то недопонимаю....???
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

парамонов к » 18 июл 2007, 04:10

Василиса Прекрасная писал(а): кто-то упорно ломает сайт http://morshansk.ru/ или непосредственно форум и засылает коня....

С этим всё ОК, тьфу, тьфу, тьфу :)
Изображение
Аватара пользователя
парамонов к
Старый Админ
 
Сообщения: 4308
Зарегистрирован: 20 ноя 2005, 14:13

Василиса Прекрасная » 18 июл 2007, 09:29

так или иначе в логах сканирования был указан как раз сайт моршанска...
если я ошиблась - слава богу)))))
кстати, про трояна.... я так подумала...... раз папка с трояном находится даже не в Програм файлз, а вообще вне системных папок, значит она не несет какой-то важно роли, ее можно удалить... ну я и удалила... просканила еще раз - все ок... трояна нет))))
Последний раз редактировалось Василиса Прекрасная 18 июл 2007, 14:02, всего редактировалось 1 раз.
Иногда я белая и пушистая...
Аватара пользователя
Василиса Прекрасная
Продвинутый
 
Сообщения: 132
Зарегистрирован: 20 окт 2005, 20:00
Откуда: Москва

След.

Вернуться в Hard&Soft

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron
@Mail.ru