Нид хелп! типа троян что ли!

[Liolyk]

Вопщем, моё чУдо, живущее со мной и юзающее мой комп, открыло какую - то мега сцылку.... ивопщем долго описывать... искал в инете, набрел на адекватное описание проблемы её и цытирую:

Дело обстоит следующим образом:

В процессе общения посредством ICQ (какой icq-клиент - не важно, пробовал разные) собеседнику присылается сообщение, содержащее ссылку и смайлик:

хттп://ввв.lovepostcards.net/288100 )))))))))))))))

Ещё стоит заметить, что ссылка эта отсылается только в самом первом (!) сообщении, отправленным мною. Далее же в процессе диалога ничего необычного, вроде бы, нет.

Подобное замечено при отсылке письма. Пользуюсь программой The Bat. Отсылаю письмо, в "Отправленных" сохраняется копия, ссылки в ней нет. Получателю же приходит письмо, и в конце добавлена та самая ссылка с тем самым смайликом.

Такой же эффект при отсылке письма через Webmail, то бишь с сайта почтового сервиса.

Я так подозреваю, что это некий "прокси-троян". Но никак не могу его вычислить. "Лечение" переустановкой винды не предлагать - задействую его только в крайнем случае.

На той самой страничке (через которую я и выхватил эту гадость, как я понимаю) находится "письмо счастье" и ActiveX компонент Windows Media Player.

Внимательно изучив все процессы, видимые в диспетчере задач, наткнулся на некий "wdfmgr.exe", который показался мне подозрительным.
Обратившись к поисковику, нашёл следующее:
wdfmgr.exe (Windows User Mode Driver Manager ) – процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.

В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.
и вспомнил, что на страничке с "письмом счастья" был компонент Windows Media player. Может здесь "собака зарыта"?

Вот html-код Windows Media player'a со странички:

Код:

<fieldset style="width: 200px;">
<legend>
[img]view.php_files/clef.gif[/img]
</legend>


<object id="NSPlay" classid="CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95" codebase="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=5,1,52,701" standby="Loading Microsoft Windows Media Player components..." type="application/x-oleobject" height="26" width="150">
<param name="FileName" value="http://www.skypomania.ru/uploads/work/672.mp3">
<param name="ShowControls" value="1">
<param name="ShowPositionControls" value="0">
<param name="ShowAudioControls" value="1">
<param name="ShowTracker" value="0">
<param name="ShowDisplay" value="0">
<param name="ShowStatusBar" value="0">
<param name="ShowGoToBar" value="0">
<param name="ShowCaptioning" value="0">
<param name="AutoStart" value="0">
<param name="AutoSize" value="0">
<param name="PlayCount" value="1000">
<embed type="application/x-mplayer2" pluginspage="http://www.microsoft.com/windows/mediaplayer/en/default.asp" filename="http://www.skypomania.ru/uploads/work/672.mp3" src="view.php_files/672.mp3" name="NSPlay" showcontrols="1" showpositioncontrols="0" showaudiocontrols="1" showtracker="0" showdisplay="0" showstatusbar="0" showgotobar="0" showcaptioning="0" autostart="1" autosize="0" playcount="1000" height="26" width="150">

</object>
</fieldset>

похоже, ничего подозрительного нет (хотя я могу ошибаться). Но тогда что?
Удаление процесса "wdfmgr.exe" не помогло. Также удалил его из автозапуска служб в "Администрировании компьютера". - Не помогло.

Пробовал также применять AVZ (версию и базы перед проверкой обновил) и AVP (также, базы обновлены) - ничего подозрительного.

В общем, прямо полтергейст какой-то. ПОМОГИТЕ!

.

полтергейст еще и в том, что с моей аськи всего 1 раз отправилось а вот с её, шлется каждый день, ЗАТО, эта ссылка еще и в сообщения на форуме вставляется! тоесть пишу я месагы, пр. просмотр все ок, жму отправить - опп а ссылка вставилась... вопщем из дома форум только чита..... а с работы вот решил поспрошать может кто чего подскажет!
ЗЫ: Прошу модераторов считать флудом все сообщения типа: предложений что - то выпить или завершить мою жизнь с помощью стенки и других статичных предметов! ЫОТ!

[Adrenochrome]

Ad-Aware попробуй заюзать..

[Liolyk]

пробовал, с обновленными базами =( потерпел фиаско

[u0rypT]

Всем пропаведую аутпост, попробуй сначала поставить триальную, понравиться дуй за коробкой... там посмотриш что еще к icq и другим портам конектиться...

[Liolyk]

Всем пропаведую аутпост, попробуй сначала поставить триальную, понравиться дуй за коробкой... там посмотриш что еще к icq и другим портам конектиться...

это так сказать превентивные меры =) а мне бы чегонить постфактумное!

[-Mihail]

...

а зачем покупать коробку? ключ ищется за 2 минуты и файрволл со своей основной задачей - контролировать порты - прекрасно справляется

[MoR]

это так сказать превентивные меры =) а мне бы чегонить постфактумное!

Не понял мысль. Аутпост даст тебе возможность посмотреть какой процесс лезет в инет и на какой адрес, если это троян.

И кстати четвертый аутпост и выше мониторит также активность приложений на твоей машине, попытки взаимодействия с другими процессами итд.
Естественно его надо включать в максимально параноидальном режиме.

[Liolyk]

и он максимально параноидально будет тормозить мне машину

[-Mihail]

ну не надо - сиди с вирусом

[MoR]

и он максимально параноидально будет тормозить мне машину

У меня же не тормозит?
Найдешь вирус - выключишь.

[smersh]

пошарь в реестре если знаеш конечно где происходит автозагрузка хотя трудно сказать куда он мог прописаться, попробуй аваст в режиме автозагрузки вдруг поможет ету хрень отловить
скорей всего это той пинч для увода асек других обычно не шлют и его наврядли чтото сейчас сможет обнаружить ищи ключи лишние папки

[Бивис]

Нид хелп тожа

[M A C T E P]

То, что правит твои мессаги - висит в памяти, и естественно оно перед этим загружается, поэтому:
1) Если это какой-то лоховский троян, то он должен быть виден в процессах и ты плохо смотришь.
2) Если это не лоховский троян, то смотри файлы autoexec.bat , win.ini , и ветки реестра под названием Run и Runonce (найдешь через поиск).
3) Если это Крутой троян. то он запускается в виде сервиса, и искать его надо в сервисах.
4) Если это офигенный троян, то он вплел нить процесса в запущенные приложения и выключился сам - это уже серьезно. Но тем не менее он все равно загружается - ищи по пунктам 1 и 2.
5) Если он типа вируса - т.е. перманентно правит экзешники(кстати ты там что-то упоминал насчет асек - с 1 шлется постоянно - с другой 1 раз - может та которая постоянно шлет и заражена, и когда она запущена, то все приложения правят мессаги) - то: ставишь копию приложения и сравниваешь чексумы файлов, а еще лучше посмотреть чексумы файлов на другом компе. Так выявится заражен файл или нет.
6) Если есть подозрения что файл заражен, но антивири его не палят, то шлешь зараженный файл в архиве в любую антивирусную лабораторию - там разберутся.

Всё. Простите за запутанные обьяснения, я сильно пьян и мне стоило огромного труда все это напечатать

[Dodge]

То, что правит твои мессаги - висит в памяти, и естественно оно перед этим загружается, поэтому:
1) Если это какой-то лоховский троян, то он должен быть виден в процессах и ты плохо смотришь.
2) Если это не лоховский троян, то смотри файлы autoexec.bat , win.ini , и ветки реестра под названием Run и Runonce (найдешь через поиск).
3) Если это Крутой троян. то он запускается в виде сервиса, и искать его надо в сервисах.
4) Если это офигенный троян, то он вплел нить процесса в запущенные приложения и выключился сам - это уже серьезно. Но тем не менее он все равно загружается - ищи по пунктам 1 и 2.
5) Если он типа вируса - т.е. перманентно правит экзешники(кстати ты там что-то упоминал насчет асек - с 1 шлется постоянно - с другой 1 раз - может та которая постоянно шлет и заражена, и когда она запущена, то все приложения правят мессаги) - то: ставишь копию приложения и сравниваешь чексумы файлов, а еще лучше посмотреть чексумы файлов на другом компе. Так выявится заражен файл или нет.
6) Если есть подозрения что файл заражен, но антивири его не палят, то шлешь зараженный файл в архиве в любую антивирусную лабораторию - там разберутся.

Всё. Простите за запутанные обьяснения, я сильно пьян и мне стоило огромного труда все это напечатать

"нить процесса" убило (Мастер не серчай )...

Если паразит смог "прописатся" в чужом процессе, не факт что он заведёт паралельный поток (Thread - нить(то про что Мастер говорил)), вполне реально гадить из основного потока. На счёт сервиса/драйвера.... это классика и ничего тут крутого нету. Искуство - это перехват вызовов функций получения инф о процессе(ах) и полное исключение инф о процессе где работает паразит. Это практически невозможно.

Теперь к делу, аффтар, попробуй просканить машину как можно большим кол-вом антивирусов, найди какойнибуть "топ 1000 антивирусов"... если результатов не будет, то есть 3 варианта:
1. Ждать обновлений баз для антивирусов
2. Переставить всё к чертям
3. Выключить комп и оставить его до лудших времён =)

[Liolyk]

дельно нового по предложениям ничего никто не предложил, в той или иной степени уже делал все.... причем если забить спамовый адреоск в поиск - то можно понять, что оно набирает обороты =) месаги отправляет 1 юзер в одной и той же аське, када я себя подгружаю - не спамит... может из за 500++ контактов в контакт листе, а может и хз короче... адвара ищет и что то нааходит но не делает с этим чем - то ничего.... а снеся все, и не поняв что это было и как лечить - хрен поймешь, что делать при повторном.... а так спс =)

[Adrenochrome]

Попробуй ка...
http://www.kaspersky.ru/virusscanner