10.07.2010, 22:09 | #33 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Еще нашел вот это:
Trojan-Downloader.LittleTroy.osa Распространяется под названием osa.gif среди прочих компонентов оформления Интернет-страниц. Расширение "GIF", характерное для файлов-картинок, умышленно присвоено файлу троянца, чтобы не выдавать его присутствия среди реальных картинок-баннеров - компонентов сохраняемой в машину HTML-страницы. Файл троянца представляет собой Win32-приложение (PE EXE-файл) размером примерно от 2050 до 20200 байт, что зависит от количества нулевых байт в его хвостовой секции. Для того, чтобы троянец был запущен на выполнение, в коде загруженной HTML-страницы должен обязательно присутствовать вредоносный скрипт, содержащий процедуры замены у файла троянца расширения "GIF" на "EXE" и последующего запуска этого переименованного файла на выполнение. Без такого скрипта в теле страницы osa.gif не представляет никакой опасности. Троянец osa.gif (osa.exe ?) является программой одноразового действия, предназначенной лишь для скрытной загрузки и установки на пораженный компьютер др. троянской программы, после чего osa.exe завершает свою работу и представляет уже не более, чем файловый мусор. В момент своего запуска троянец проверяет наличие подключения машины к сети Интернет и в том случае, если подключение активно, то скрытно соединяется со страницей http://abyronexperience.com/%/1.php , с которой пытается скачать на пораженный компьютер какой-то EXE-файл. Затем троянец устанавливает этот файл в создаваемый им подкаталог со случайным именем в системной поддиректории, присваивая файлу случайное имя "%" (тут переменная % имеет какое-то определенное значение): WINDOWS\[подкаталог со случайным именем]\%.exe После установки и запуска данного файла на выполнение, троянец создает в системной памяти уникальный идентификатор нового троянского процесса "%.exe". Этот идентификатор имеет название fds5644ghhopen и содержит в себе информацию о местоположении в системной директории файла %.exe и его активности. Необходимость создания данной "метки" в системной памяти обусловлено, очевидно, тем фактом, что имя подкаталогу расположения данного файла присваиваются троянцем случайным образом и при наличии идентификатора можно избежать повторных загрузок и установок на машину-жертву одной и той же троянской программы, но в разные подкаталоги. Троянский файл osa.gif (osa.exe ?) антивирусы детектируют так: Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Small.aso Антивирус DrWeb: Trojan.DownLoader.2504 Антивирус BitDefender Professional: Generic.Malware.dld!!.B158991E Может что-то такое? |
10.07.2010, 22:12 | #34 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
Для чего вы это написали? Зачем тратить время на поиски того чего нет? уберите из автозагрузки (через msconfig) офис. Или вообще этого мамонта Office XP выкиньте и установите 2003 как вам советуют. |
10.07.2010, 22:16 | #36 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
neigrok,
Уберите из авторзагрузки Офис Когда уберете птичку - примените и перезагрузитесь. После перезагрузки появится небольшое окно, в нем поставьте птичку слева внизу и нажмите ОК НА XP встанет любой офис |
10.07.2010, 22:23 | #40 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Автозагрузку OSA убрал. Перегрузил. Галку поставил. Результат: OSA в процессах отсутствует. Загрузка ЦП -0.
Поставил качаться Офис 2003 по Вашей ссылке. Ожидаемое время 2 часа. Вывод: Спасибо, что весь день со мной промучались. Через час футбол. Не буду Вас сегодня допекать своим присутствием. Ночью или завтра установлю Офис 2003. Тему не закрывайте пока. Потом отпишу здесь о результатах. В любом случае с меня пол-литра. |
Ads | |
10.07.2010, 22:27 | #41 (ссылка) |
Специалист
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
|
1. Ссылка вторая сверху в той теме в сообщении. Не перепутал ?
2. Про обещания: здесь все врут. Один мне три сотни на сотовый обещал, а потом смылся. До сих пор на форуме не видно. Так что не обещай. Тем более спиртное |
11.07.2010, 04:13 | #43 (ссылка) |
Новичок
Регистрация: 10.07.2010
Сообщений: 48
Репутация: 0
|
Снова, здравствуйте.
Как будет время, пожалуйста, включитесь снова в мою тему. Немного "дожать" осталось. Я в воскресенье с обеда буду дома и готов подключиться к работе. Когда окончательно решили сносить Офис ХР 10, то ситуация выглядела так: 1. OSA съедала 50% ЦП и мы ей отключили автозагрузку в msconfig. 2. World запускался с предупреждениями, что он не может установить связи и т.п. 3. Брандмаузер кричал, что не видит антивир. 4. В списке служб при каждой загрузке Windows Installer оказывался не работающим, несмотря на "Авто". Чтоб что-то установить-удалить приходилось включать его вручную каждый раз. 5. В диспетчере было 6 (шесть) svchost. 6. 11.07.10 г. 00.43 ч. The file 'C:\System Volume Information\_restore{F297A28A-485F-4644-ADBC-731058EB3C5F}\RP1\A0000065.exe' contained a virus or unwanted program 'TR/Drop.boa' [trojan] Action(s) taken: The file was moved to the quarantine directory under the name '4e1d7ada.qua'. Снес Офис ХР 10 и установил с Вашей ссылки Офис 2003. (правда, не очень понял как обновлять). Результаты: 1. OSA.ехе на компе не обнаружен. Загрузка ЦП - 0. Но в автозагрузке в msconfig OSA по-прежнему числится в принудительно отключенном состоянии. 2. Новый Офис 2003 ни в какие автозагрузки нигде не прописался. Но в списке служб появилось "Office Sourсe Engine" в неработающем состоянии на установке "Вручную". 3. Новый World снова запускается с теми же предупреждениями. Полазил в настройках и убрал галку с "Восстанавливать связи и т.п.", но это на дело не повлияло. Вообще непонятная проблема. 4. Брандмаузер теперь антивир видит и кричит только об отключенном автообновлении. 5. В списке служб Windows Installer теперь стабильно рабочий, стоит на "Авто". 6. В диспетчере осталось 6 (шесть) svchost. 7. По адресу D:\ появилась пустая папка msdownld.txt - брошено в корзину, и папка RECYCLER, вес 21.1 кб, внутри типа пусто - при попытке удалить, кричит, что нет доступа и ступай лесом. Что это? Больше пока ничего нового не заметил. В целом система работает без явных сбоев. Еще дополнительный вопрос: Комбофикс после своей работы насоздавал мне кучу папок с разными файлами на диске С:\ Это нужно? Куда это все девать? А то как-то эстетику портит. По моим предположениям, инфицированный OSA.ехе оставил после себя хлам в реестре, возможно какие-то кривые ключи, связанные с работой Офиса. Но тут я уже совсем не разбираюсь. Есть у Вас идеи что еще надо бы сделать, чтобы спать спокойно? Последний раз редактировалось neigrok; 11.07.2010 в 04:30. |
11.07.2010, 10:07 | #44 (ссылка) |
Специалист
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
|
Есть. В Реестре правой кнопкой мыши - НАЙТИ. Напиши там OSA.ехе. Может найдет чего. Папку RECYCLER создают трояны. И это говорит о том, что в системе они ещё остались. Если скрипты тебе больше не будут составлять по AVZ - у , то запусти эту программу
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
svchost.exe | NightDevil | Windows 7 | 18 | 09.01.2011 18:04 |
svchost.exe 50%-100% ЦП | desert1k | Безопасность | 5 | 25.12.2010 23:59 |
DCOM exploit. Как с ним бороться? | Nicolas | Безопасность | 18 | 20.10.2010 13:26 |
Ошибка DCOM | Drukar | Windows XP | 0 | 19.10.2010 12:01 |
DCOM Exploit | ~Данил~ | Безопасность | 0 | 08.10.2010 21:54 |
svchost.exe | tee | Безопасность | 7 | 08.07.2010 22:56 |
Проблема с svchost.exe и со звуком (наверное). Логи | Rabi | Безопасность | 33 | 03.07.2010 18:51 |
Проблема с svchost.exe | 4eshka | Безопасность | 10 | 16.06.2010 18:54 |
Проблема с svchost | shooroopsan | Безопасность | 18 | 10.09.2009 17:42 |
svchost | Xexe | Безопасность | 7 | 23.07.2009 22:40 |
проблема с svchost.exe помогите! | Dominion | Windows XP | 15 | 18.04.2009 16:46 |