Нужна полмощь!Похоже у меня сидит троян.Была использована программа Rootkit Revealer которая обнаруживает ключи реестра и
файлы скрывающие свое присутствие (перехват API).Вот часть того что она обнаружила:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 31.07.2005 23:10 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 31.07.2005 23:10 4 bytes Data mismatch between Windows API and raw hive data.
Проверка антивирусами ничего не дает.По очериди были использованы Каспер, Dr.Web и !Avast.Все с последними версиями и самыми
свежими базами, уровень сканирования максимальный.Сейчас стоит !Avast.Spybot-search тоже ничего не обнаруживает.
Пробовал удалять обнаруженные ключи но через некоторое время они появляются снова.Кроме ключей два раза обнаруживались
Файлы в директории C:\WINDOWS\system32\CatRoot2,удалил с большим трудом.mstIsUsedBy показал что они используются процесом
0x0460 svchost.exe.Операционная система Win XP SP2 из програм еще имеются Outpost,RegWorcs.В дополнение к анамезу-
при запуске некоторых програм вылазит модуль подключения к интернету,В сеть пытался вылезти HDDlife которому там
вроде бы делать нечего.Попытка была пресечена Outpost.Вопрос:1)если произошло проникновение чужого dll в процес то как можно
избавиться от захватчика и второе-как узнать какому файлу (процесу) принадлежат конкретные ключи или параметры реестра?
Насколько я понимаю где-то находится файл(лы) каторый все это генерит.Надеюсь на помощь.
С первым постом,
Igor Russ. :hiya:
Ты уверен, что это троян? C:\WINDOWS\system32\CatRoot2 - это системная директория, вроде бы...
Цитироватьпри запуске некоторых програм вылазит модуль подключения к интернету
Это вовсе не говорит о наличии трояна. Вполне возможно, что программы пытаются выйти по своим легальным делам - за обновлением, например... Или хотят, чтобы ты их зарегистрировал на сайте производителя...
C:\WINDOWS\system32\CatRoot2 в ней был файл с расширением .tmp
который был определен Rootkit Revealer как скрывающий свои функции(присутствие).Кроме того вчера у меня накрылись оба почтовых
ящика.Не пускают, говорят недействителен пароль.Один был на mail
второй на rambler.
Вдогонку.После удаления файла tmp провел чистку реестра програмой RegSupreme ,был обнаружен следующий ключ с пометкой
"отсутствует файл" C:\PROGRA~1\TROJN~\Trshlex.dll
поправка C:\PROGRA~1\TROJN~\Trshlex.dll воможно относился к TrojanRemover
Получается, что тревога ложная?
Ещё для профилактики можно чем-нибудь трафик посмотреть.
http://wiki.compowiki.info/Skorost'Interneta/Spidometry (http://wiki.compowiki.info/Skorost'Interneta/Spidometry)
Мне больше всего OnLineEye нравится. :)
Igor Russ,
привет могу помочь токо ето делать нужно в ручную ася
304385330 когда зайдьош в асю назвись хто и зачем а то я непойму и скажу те нехпрошие слова ))
Уважаемый Guest, представь себе сколько людей были бы тебе благодарны если бы ты смог немного напрячься и написать тут в нескольких строчках о найденном тобой решении проблемы. Уж если ты можешь и хочешь помочь одному, то помочь многим это просто большое доброе дело.
интересно... гость.... ася... но зачастую через АСЮ имея троян и зная что за торян... можно получить желаемое... с удаленного компа :)