Схватил трояна! Дырка в Java. Помогите!

[SergFL]

Схватил трояна! Через IE 6.0.2922 Дырка в Java. Система томозит по чёрному.Помогите! Гугль даёт ссылы тока на англоязычные ответы,-даже с машинным переводом непонятно.. Описалово такое - в пути C:\WINDOWS\Temp сидит неудаляемый файл "hlktmp" 8,01Мб.Под DOS ом удаляется,но после загрузки ОС ки (Win ХР SP2 Rus) снова появляется (в автозагрузке (msconfig) чисто!).На англоязычных форумах пишут-это хакеры нашли дырку в Java,установите новую версию и очистите кэш IE и Явы.Всё так сделал-всё равно создаётся...может есть какая прога удаления/чистки? АдВаре и NOD32 не видит эту бяку.

[Richard Ferlow]

Попробуй RemoveIT. На сибнете есть.
http://soft.sibnet.ru/soft/?id=5830
Она шароварная, но провериться даст.

Для просмотра полного списка автозагрузки пользуй
Autoruns
http://soft.sibnet.ru/soft/?id=5968

Касаемо вирусов - сейчас очень легко подхватить вирус на совершенно любом, даже казалось бы безопасном сайте. Особенно через IE.

[SergFL]

RemoveIT пишет:

3:32:47: Scanning, please wait...
3:49:24: Infected file (Sys32.bcgcbpro860u80) C:\WINDOWS\system32\bcgcbpro860u80.dll
4:16:11: Infected file (Sys32.ssprs) C:\WINDOWS\system32\ssprs.dll

Пока ещё сканирование не закончилось... Может потом эти системные файлы заменить от другой (здоровой) Виндовс?

Вместо проги "Autoruns",грузится файл Autoruns.htm,открываю в браузере-сплошная абракадабра. Переименование htm в exe ничего не даёт...
Нашёл Autoruns 9.1 в пиринге (P2P),но стою в очереди на скачку...
Вот такие пока дела...,продолжение следует...

[SergFL]

Качнул в Сибнете Autoruns v8.73 и убрал подозрительные загрузки.
RemoveIT-том пофиксил две фишки.
Под DOS-ом удалил из C:\WINDOWS\Temp файл "hlktmp".
Загрузился.......
Файл попрежнему создаётся! ...
Млин..,так неохота Винду с нуля ставить...

[blackschool]

SergFL
создай пустой "только для чтения" файлик C:\WINDOWS\Temp\hlktmp.
Авось поможет

[Guu-chan]

Лог Хайджека, пожалуйста. Do a system scan and save a logfile. Выскочит окошко блокнота, его содержимое копируем прямо в ответ.
А потом - лог АВЗ. "Файл --- Исследование системы" Будет получен в виде html. Его приаттачить к сообщению.
Хайджек можно скачать здесь:
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
А АВЗ здесь:
http://z-oleg.com/avz4.zip
Весят они мало - в общей сумме не больше пяти мегабайт. Но если что специально даю прямые ссылки - можно и на Сибнете оставить заявку.
А потом будем разбираться.

[SergFL]

!!!!!! Ура! создал по совету blackschool из-под DOS-a пустой текстовый док без расширения и "только для чтения",поместил в ту же директорию,загрузился и о чудо!!! кроме этого,моего файла,там больше ничего нет!
Загрузчик трояна стало быть обманули,а теперь надо найти источник-где сидит этот самый загрузчик....продолжаю исследования,гружу проги по совету Guu-chan.Ожидайте.....

[SergFL]

Часть логов отправил Guu-chan-будем бороться! Спасибо Blackschool за намётку с созданием обманного файла...,щас хоть можно нормаль пользоваться компом..!

[SergFL]

Это мрак какой-то..шесть дней бьюсь уже с трояном,чёрт меня дёрнул отформатировать системный раздел в NTFS...,когда сидел под FATом всё окей было пять лет.......Вобщем троян такой: попадает с инет страничек через дырку в Яве(или через .com файлы портабл прог),цепляется к NTFS,создаёт скрытую учётную запись. В папке RECYCLERS сидит файл -1-5-21-436374069-1935655697-1957994488-1003 (по мойму имя корзины изменено..),на все устройства с NTFS садит папку System Volume Information в которой собсно и пишет лог.Там два файла,один с именем MountPointManagerRemoteDatabase другой tracking.log с запретом доступа туда юзеру(попытка стать "владельцем" держится всего несколько минут...) Из под ДОСа вычищаю-непомогает,антитроянскими прогами вычищаю-после перезагрузки-всё тоже самое...Переустановка ОСки ясень пень не помогла-в файловом разделе D: троян сидел и как только ОС инициализнулась первый раз,троян тут же перепрыгнул туда...
Вопрос: есть проги чтоб переконвертировать NTFS в FAT? (с сохраниением данных естессно) Полные логи tracking.log hijackthis.log отсылаю Guu-chan,может что подскажет..

ПС.После переустановки ОСки файл C:\WINDOWS\Temp\hlktmp перестал создаваться.
ПС2.Троян отключает Файрвол на уровне службы.

[dlnsk]

[SergFL]

Запускаю Acronis Disk Director Suite - нет там такой функции... Если имеется в виду кнопка "Преобразование раздела",то это преобразование из FAT16 в FAT32

[SergFL]

На форумах пишут-из NTFS в FAT преобразовывать не желательно,будут глюки...,придётся новый HDD покупать и форматить его в FAT и копировать на него с заражённого,т.к. троян к FATу не цепляется абсолютно

[Andrey.nsk]

[Kran]

[woldemar]

[SergFL]

[Andrey.nsk]

SergFL А почему вы решили что троян исчез, лично я в этом глубоко сомневаюсь.

[SergFL]

ну дак...,столько дней я на ошмётки от него зырил и удалял-запомнил наизусть...,щас чисто во всех местах.Хотя может и сидит где нить в загрузочном секторе...,ждёт когда я на NTFS перейду Надо будет весь диск форматнуть когда нить...,раз десять,шредером каким нить

[SergFL]

Вот млин....,и главно дело хоть кто нить бы обмолвился/намекнул,нет,все грамотные ... Вобщем цитирую:
"В папке System Volume Information, как не трудно догадаться по его названию, хранится информация раздела. В частности файлы MountPointManagerRemoteDatabese и tracking.log. Удаление этих файлов не рекомендуется (и не нужно). В подпапке _Restore{****} содержатся точки восстановления (если данная служба запущена).
В папке Recycled содержатся корзины пользователей (на каждого пользователя своя корзина в случае, если файловая система раздела - ntfs. Появляется при первом помещении пользователем файла в корзину). Ее можно безбоязненно удалить, но при следующем помещении в корзину она появится вновь."

Так что я тут много лишнего наплёл.Тему можно закрывать.Троян изчез после того как я переустановил Винду с нуля.Всем спасибо.

ПС.В папке RECYCLER попрежнему сидит неудаляемый файл "S-1-5-21-436374069-1935655697-1957994488-1003" ....форматну винт нафиг.

[Richard Ferlow]

С перепугу сколько наворотил

Неудаляемые файлы на NTFS из-за ошибок файловой системы появляются.