IPB

«дравствуйте, гость ( ¬ход | –егистраци€ )

 
Reply to this topicStart new topic
>  огда мы научимс€ тро€нов ловить?, Trojan.Win32.Agent !!!
Aesopus
сообщение Mar 2 2008, 23:14
—ообщение #1





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



ƒрузь€ мои!

Ќу когда ƒоктор ¬еб будет заточен правильно!?
¬новь купил и разочарован!

ƒетектит €вную ерунду типа кигена от DVT или апдейтера от RapidUp(loadera), а файл , что не давал мне работать в инете и запускать мониторинговый софт, в упор не видел «ј–ј∆®ЌЌџћ !

ѕо классификации  асперского - это "Trojan.Win32.Agent.did"

Ётот тро€нский код легко читаетс€ текстовым редактором в злосчастном файле PC-ASUS.dll (в папке System32).

‘рагмент кода пон€тен даже такому лоху как €:

 од
?AVCAbstractException@@        xв     .?AVCSystemException@@  t i n y C o n f i g T i m e r   LU  o p e n     exe msg=    pd[wmid]=   &pd[id]=    . d l l     j   l   g   c   d   f   m   i   e   v   o   .   h   t   p   :   /   V   u       N   T   C   W   n   s   \   M   S   w   a   r   AntiVirus   avast   McAfee  Prevx   Kaspersky   Avenger RootkitRevealer Registry Monitor    Process Monitor Process Explorer    File Monitor    Disk Monitor    Autoruns    AccessEnum  HijackThis  SpyBot  ‘»Є®ШД`@4xв     .?AVCSFileException@@   TMP .dll    A s y n c h r o n o u s     I m p e r s o n a t e   D l l N a m e   \   ‘»Є®ШД`@4% i     moving   to     deleting    .   :   /        in      :  % 0 4 i - % 0 2 i - % 0 2 i   % 0 2 i : % 0 2 i : % 0 2 i : % 0 3 i     C a n ' t   f i n d   S l a s h   i n       C a n ' t   f i n d   . d l l   i n     %%%02X  ProductId   Software\Microsoft\Windows NT\CurrentVersion    Win32s  Windows 98  Windows 95  Windows NT  Windows NT 5.0  Windows NT 5.1  Windows NT 5.2  Windows NT 6.0  )  ;   SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Pre Platform SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform    SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Pre Platform SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform    W i n 3 2   Unknown User Agent  Software\Microsoft\Windows\CurrentVersion\Internet Settings ProcessorNameString HARDWARE\DESCRIPTION\System\CentralProcessor  Identifier  
in     U n k n o w n   undefined   l    * / *   Content-Type: application/x-www-form-urlencoded

P O S T     Accept-Language:    

    % 0 2 x     w i n l o g o n . e x e     e x p l o r e r . e x e                 xв     .?AVtype_info@@


ј нашЄл € его руками и головой - по дате,расположению и текстовому содержанию.

„то скажет г-н ƒанилов и  омпани€ ???
Go to the top of the page
 
+Quote Post
john
сообщение Mar 2 2008, 23:33
—ообщение #2





√руппа: ”частник форума
—ообщений: 739
–егистраци€: 18-April 06
»з: Nukualofa, Tonga
ѕользователь є: 1.311



mailto:vms@drweb.com с паролем virus
Go to the top of the page
 
+Quote Post
Aesopus
сообщение Mar 2 2008, 23:42
—ообщение #3





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



јрхив выслан!
Go to the top of the page
 
+Quote Post
Aesopus
сообщение Mar 3 2008, 9:52
—ообщение #4





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



Mr.John!

ѕрошу вас информировать мен€ - могу ли € удалить этот файл (PC-ASUS.dll) ?
ƒелать это € остерЄгс€, ибо "PC-ASUS" - это NetBIOS им€ моего компьютера, да и папка слишком системна€ - system32 !

Ќа данный момент € работаю с этим файлом без видимых проблем, так как просто вырезал вышеприведЄнный участок malware кода. Ќо !  асперский онлайн всЄ равно пишет , что файл PC-ASUS.dll (даже в кастрированном варианте!) «ј–ј∆®Ќ тро€ном "Trojan.Win32.Agent.did".

∆ду квалифицированной помощи! —пасибо.
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 3 2008, 13:04
—ообщение #5





√руппа: ”частник форума
—ообщений: 2.238
–егистраци€: 6-December 05
»з: г.  иев, ”краина.
ѕользователь є: 68



÷итата(Aesopus @ Mar 3 2008, 9:52) [snapback]247871[/snapback]
могу ли € удалить этот файл (PC-ASUS.dll) ?

ѕопробуйте переместить его в более другое место и перезагрузитьс€. ≈сли все будет нормально - этот файл больше не нужен.


--------------------
---
— уважением,
Borka.
Go to the top of the page
 
+Quote Post
Aesopus
сообщение Mar 3 2008, 13:43
—ообщение #6





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



Borka!

≈сли вы уверены что в нЄм нет никаких данных конфигурации и настроек моего Asus...

¬ нЄм действительно один мусор?
Go to the top of the page
 
+Quote Post
pig
сообщение Mar 3 2008, 17:21
—ообщение #7





√руппа: ”частник форума
—ообщений: 1.777
–егистраци€: 6-December 05
»з: јпатиты, Ћапланди€
ѕользователь є: 36



¬ тро€не ничего полезного быть не может. Ёто сторонн€€ приблуда.


--------------------
...а € ещЄ и вышивать умею... © ћатроскин
www.eserv.ru
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 3 2008, 17:58
—ообщение #8





√руппа: ”частник форума
—ообщений: 2.238
–егистраци€: 6-December 05
»з: г.  иев, ”краина.
ѕользователь є: 68



÷итата(Aesopus @ Mar 3 2008, 13:43) [snapback]247874[/snapback]
≈сли вы уверены что в нЄм нет никаких данных конфигурации и настроек моего Asus...
¬ нЄм действительно один мусор?

—кажем так: даже если там и есть какие-то данные, то вполне веро€тно, что они уж≈ ушли (если это тро€нописателю надо). ј так - см. то, что сказал pig.
ƒругое дело, если Ѕ≈« этого файла система не пониметс€ (что маловеро€тно). “огда вернете на место, загрузившись с BartPE/WinPE до детекта и лечени€ ƒоктором.


--------------------
---
— уважением,
Borka.
Go to the top of the page
 
+Quote Post
Aesopus
сообщение Mar 3 2008, 19:53
—ообщение #9





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



¬сем спасибо.
—ейчас возитьс€ с виндой нет желани€. ѕодожду решени€ ƒоктора.
я думаю удалени€ команд запрета на открытие софта и соотв веб-страниц мне пока достаточно, тем более что теперь фильтрую траффик сторонними программами.

Ќо вопрос остаЄтс€: как доктор умудр€етс€ Ќ≈ ¬»ƒ≈“№ этого безобрази€ ???
Go to the top of the page
 
+Quote Post
pig
сообщение Mar 3 2008, 23:16
—ообщение #10





√руппа: ”частник форума
—ообщений: 1.777
–егистраци€: 6-December 05
»з: јпатиты, Ћапланди€
ѕользователь є: 36



ј ему никто не сказал, что Ё“ќ надо видеть.


--------------------
...а € ещЄ и вышивать умею... © ћатроскин
www.eserv.ru
Go to the top of the page
 
+Quote Post
Aesopus
сообщение Mar 3 2008, 23:20
—ообщение #11





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



piq !

¬ам бы этот файл на комп, и вы бы так не хохмили бы!
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 3 2008, 23:22
—ообщение #12





√руппа: ”частник форума
—ообщений: 2.238
–егистраци€: 6-December 05
»з: г.  иев, ”краина.
ѕользователь є: 68



÷итата(Aesopus @ Mar 3 2008, 19:53) [snapback]247880[/snapback]
Ќо вопрос остаЄтс€: как доктор умудр€етс€ Ќ≈ ¬»ƒ≈“№ этого безобрази€ ???

Ћюбой антивирус слеп до того, как вирус не попал в соответствующий вирлаб. ¬от только после того, как будет подготовлено лекарство, антивирус прозревает. smile.gif јбсолютной защиты не существует, и стопроцентной гарантии не дает уж≈ и страховой полис. wink.gif


--------------------
---
— уважением,
Borka.
Go to the top of the page
 
+Quote Post
pig
сообщение Mar 4 2008, 1:33
—ообщение #13





√руппа: ”частник форума
—ообщений: 1.777
–егистраци€: 6-December 05
»з: јпатиты, Ћапланди€
ѕользователь є: 36



÷итата(Aesopus @ Mar 3 2008, 23:20) [snapback]247883[/snapback]
¬ам бы этот файл на комп, и вы бы так не хохмили бы!

Ёто не хохма, это констатаци€ факта. Ќе надо очеловечивать программы. ” них соображалка начисто отсутствует, действуют строго по инструкции. “кнут разработчики носом - будет ƒоктор эту радость видеть. Ќе ткнут - так и будет ходить мимо.


--------------------
...а € ещЄ и вышивать умею... © ћатроскин
www.eserv.ru
Go to the top of the page
 
+Quote Post
Aesopus
сообщение Mar 4 2008, 20:59
—ообщение #14





√руппа: ”частник форума
—ообщений: 13
–егистраци€: 20-January 06
ѕользователь є: 625



—пасибо за ответы. ѕечально.
јдаваре и  ј имеют эти базы с Ќового √ода. ¬роде и панда тоже определ€ет.
–аз € открыл дл€ DrWeb эту гадость, то и назвать еЄ можно Trojan.Win32.Aesopus.Agent (шутка...така€)
Go to the top of the page
 
+Quote Post
RexSep
сообщение Mar 19 2008, 16:09
—ообщение #15





√руппа: ”частник форума
—ообщений: 28
–егистраци€: 7-March 07
ѕользователь є: 4.260



÷итата(pig @ Mar 4 2008, 1:33) [snapback]247887[/snapback]
Ёто не хохма, это констатаци€ факта. Ќе надо очеловечивать программы. ” них соображалка начисто отсутствует, действуют строго по инструкции.
ј как же эвристический анализ?
ƒругое дело, что в DrWeb 4.44 (в отличие от, если мне не измен€ет пам€ть, DrWeb 3.31) в настройках "по умолчанию" галочка в пункте "Ёвристический анализ" не стоит. Ќо еЄ можно и самому поставить. wink.gif
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 19 2008, 17:26
—ообщение #16





√руппа: ”частник форума
—ообщений: 2.238
–егистраци€: 6-December 05
»з: г.  иев, ”краина.
ѕользователь є: 68



÷итата(RexSep @ Mar 19 2008, 16:09) [snapback]247944[/snapback]
ј как же эвристический анализ?

» он задействован. Ќо тоже строго по инструкции...

÷итата(RexSep @ Mar 19 2008, 16:09) [snapback]247944[/snapback]
ƒругое дело, что в DrWeb 4.44 (в отличие от, если мне не измен€ет пам€ть, DrWeb 3.31) в настройках "по умолчанию" галочка в пункте "Ёвристический анализ" не стоит. Ќо еЄ можно и самому поставить. wink.gif

ѕтица "Ёвристический анализ" по умолчанию установлена.


--------------------
---
— уважением,
Borka.
Go to the top of the page
 
+Quote Post
Winny
сообщение Mar 20 2008, 14:46
—ообщение #17





√руппа: ”частник форума
—ообщений: 1.087
–егистраци€: 2-December 05
ѕользователь є: 12



÷итата(RexSep @ Mar 19 2008, 16:09) [snapback]247944[/snapback]
ј как же эвристический анализ?

ѕопробуйте ‘ќ–ћјЋ№Ќќ описать, чем Trojan.Downloader отличаетс€ от любого менеджера закачек, а SpamBot от любого почтового клиента.
ѕосле этого вопросов станет меньше. rolleyes.gif
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



- “екстова€ верси€ —ейчас: 18 November 2019 - 17:59