НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /

Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться!

Печать RSS Деревом

Gebb
activist
Сообщений: 132
22.07.04 11:19
ОС Windows XP Pro
На днях словил сабжевого вируса.
В папке %WINDIR% после каждой перезагрузки появляется файл system.exe, который, собсно, вирусом и является. Если вовремя не убить процесс system.exe, он создает там же идентичный файл taskmrg.exe и запускает его, а сам завершает работу.

NOD32 с последними обновлениями вообще в нем вируса не признал. Зато признал Касперский. Но толку от него мало. Да, он при загрузке убивает system.exe, но файл-то каждый раз все равно появляется.

Я тщательно исследовал ветки реестра типа Run, RunOnce etc.
Удалил всё, что вызывало хоть малейшее подозрение. Оставил грузиться ну уж совсем безвредные вещи (Kaspersky, Outpost). Просмотрел и отключил все службы, вызывающие подозрения. То же сделал с подозрительными драйверами устройств в диспетчере устройств - драйверы устройств не Plug&Play.
Проверил комп на наличие вирусов - чисто.
Ничего не помогает. System.exe каждый раз создается в %WINDIR%.

Прочитал описание на Viruslist.ru. Действия вируса, описанные там, совпадают с теми, что выполняет вирь на моем компе (ломится в инет по SMTP протоколу). А вот то, как он себя запускает (файлы, ветки реестра) - нет. :-(

P.S.: Что-то NOD32 меня разочаровывает. Не видит уже второй за последнее время вирус. (Первый был Trojan.Win32.BKClient)
You know what I really want in a girl? Me! (c)BHG
КопироватьСсылка
Рассказать друзьям
ganymed
просто пользователь
Сообщений: 18850
22.07.04 20:06Ответ на сообщение Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Попробуй загрузиться в Safe Mode и там запустить антивирусный сканер на папки:
Documents and Settings, Program Files и Windows
Возможно где-то прицепом грузиться "голова" вируса.
Я так одного трояна искоренил, который в обычном режиме до конца не выкарчевывался.
Использую DrWeb. Пока не подводил.
...да. И поставь последние заплатки от МС.
Много за последнее время дыр выявлено в семействе Windows.

"Nell'era Delle Сamminatore"
КопироватьСсылка
Рассказать друзьям
sebuba
Анонимный пользователь
22.07.04 21:40Ответ на сообщение Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Касперский у тебя какой? поставь базы расширенные и проскань в избыточном режиме,я использую либо 5.0 либо 3.5 оба отлично справляются...
НОД то же поставил и угараю как он переодически мимо вирей пробегает, хотя обновления баз регулярно и сканирование стоит углубленное всё равно в упор не замечает, зато самый быстрый в мире сканер...
Если мне память не изменяет Pinch ворует пароли к АСЕ...
КопироватьСсылка
Рассказать друзьям
ganymed
просто пользователь
Сообщений: 18850
22.07.04 23:23Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя sebuba
Вот инфа про этот троян:
"Trojan.PSW.LdPinch

Семейство "троянских коней", ворующих пароли пользователя.

При запуске троянец прописывается в ключ автозапуска системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
putil = %windir%\%имя_файла%

Затем копирует себя в каталог Windows, запускается оттуда, а исходный файл удаляет.

"Троянец" собирает сведения о системе (версия ОС, конфигурация аппаратного обеспечения) и пароли для различных сервисов и прикладных программ, в том числе RAS, POP3, IMAP, ICQ, FTP и т.д.

Собранная информация кодируется с помощью MIME (Base64) и отправляется на электронный адрес злоумышленника через SMTP-сервер, IP-адрес которого записан в теле "троянца"."

http://www.viruslist.com/viruslist.html?id=2808004
"Nell'era Delle Сamminatore"
КопироватьСсылка
Рассказать друзьям
Silvia
experienced
Сообщений: 698
23.07.04 04:32Ответ на сообщение Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Вот сайт автора этого вируса http://www.cobans.net
Ворует все пароли с компа и отсылает на заданный адрес. Исходный код этого трояна может быть "вклеен" в любой другой файл, на который и не подумаешь, потому и антивири его не берут.
Ищи файлы, скорей всего экзешники, которые ставил недавно и сомнительного происхождения, типа прислал тебе их кто нить, или посоветовал.
Может даже склеен с какой нибудь фоткой, или любым аудио или видео файлом.
Позор стране,в которой идёт реклама"Возьми кредит,что бы собрать ребёнка в школу."
КопироватьСсылка
Рассказать друзьям
Gebb
activist
Сообщений: 132
23.07.04 14:19Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Silvia
2 ganymed:

В ответ на: Попробуй загрузиться в Safe Mode и там запустить антивирусный сканер
В safe mode не запустился ни Касперский, ни NOD32. Правда, system.exe тоже не запустился.

В ответ на: ...да. И поставь последние заплатки от МС.
Поставил 8 штук критических.

В ответ на: При запуске троянец прописывается в ключ автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
putil = %windir%\%имя_файла%
В том то и дело, что нет у меня такого ключа. Вообще в _этой_ ветке ни одного ключа нет.

2 sebuba:

В ответ на: Касперский у тебя какой?
KAV Personal 5.0.121

В ответ на: поставь базы расширенные и проскань в избыточном режиме,я использую либо 5.0 либо 3.5 оба отлично справляются...
Обновил, просканил. Он удалил эти два файла (system.exe и taskmrg.exe), больше ничего не нашел. Проблема осталась.

В ответ на: Если мне память не изменяет Pinch ворует пароли к АСЕ...
И еще к Бату, &RQ, всяческим ftp-серверам, прописанным в Total Commander, диалап со-единениям и др.

Пробовал в msconfig поставить диагностический запуск. Загрузилось всего ничего: пара служб базовых. System.exe при этом все равно появился и запустился.
Резюмирую: пока ничего не помогло. Что ли Dr. Web поставить?
You know what I really want in a girl? Me! (c)BHG
КопироватьСсылка
Рассказать друзьям
PN
ЙА ТИГОР
Сообщений: 8120
23.07.04 14:23Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Как это пара служб? В разделе Services (Службы) их всего пара? Он же запускается из этого ключа только первый раз, а потом стоит как Service, вроде бы. нужно смотреть сервисы на предмет подозрительного.
Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
КопироватьСсылка
Рассказать друзьям
Silvia
experienced
Сообщений: 698
23.07.04 15:01Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Этот троян существует уже наверно около года, код его постоянно обновляется. Так что антивири его начнут ловить только дней через 10. И то антивирь ловит его только на входе, а если он уже на компе, антивирусом его не одолеешь, так как у него есть функция блокировки антивирей. Первое это ищи файл с которым он мог попасть к тебе на комп и уничтожай его. А в принципе он безвредный, если заткнешь ему выход в инет фаерволом, у меня месяца три такой сидел, и антивири его не находили, фаервол тока показывал, как он через день в инет пытался выйти.
Позор стране,в которой идёт реклама"Возьми кредит,что бы собрать ребёнка в школу."
КопироватьСсылка
Рассказать друзьям
ADmitry
veteran
Сообщений: 1272
23.07.04 15:26Ответ на сообщение Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
есть такой типично советский способ лечения....
1. чистим секции запуска в реестре от него regeditом
2. чистим различные папки автозагрузок в различных профилях
3. чистим win.ini как ни странно но 2k и xp при его наличии отрабатывает там секцию [boot]

и жмем reset... чтоб процесс не получил terminate и не прописался по новой... потом спокойно лечимся..... или если точно знаем имя файла - то грохаем его и потом лечимся
КопироватьСсылка
Рассказать друзьям
Gebb
activist
Сообщений: 132
23.07.04 17:15Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя PN
2 PN:
Как это пара служб? В разделе Services (Службы) их всего пара?
Нет, в services.msc их много, но вот состояние "Работает" только у одной (ошибся я насчет того, что пара) - RPC.

Он же запускается из этого ключа только первый раз, а потом стоит как Service, вроде бы.
Не знал. А откуда такая информация?

нужно смотреть сервисы на предмет подозрительного.
Да я все уже просмотрел: службы, system.ini, win.ini, ...\Run, ...\RunOnce, Автозагрузка и т.п. Ничего подозрительного. :-(

Диагностический запуск отключает обработку system.ini, win.ini, отключает почти все службы (см. выше), однако вирус каким-то образом запускается.

2 ADMitry
Не смог воспользоваться Вашим советом: не нашел, откуда он себя запускает.
You know what I really want in a girl? Me! (c)BHG
КопироватьСсылка
Рассказать друзьям
Vovis
guru
Сообщений: 6299
23.07.04 18:10Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Можно отдельно выделить всплеск активности программ семейства Trojan.PSW.LdPinch. Распространение некоторых версий данного «троянца» производилось посредством спам-рассылок.
источник
TEMPORA MUTANTUR, ET NOS MUTAMUR IN ILLIS.
"Никогда не доверяй женщинам ...!"
My Motherland - the USSR...
КопироватьСсылка
Рассказать друзьям
ganymed
просто пользователь
Сообщений: 18850
23.07.04 23:38Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
В ответ на: В safe mode не запустился ни Касперский, ни NOD32. Правда, system.exe тоже не запустился.
Это мониторы не запускаются. А сканеры должны.
По крайней мере у DrWeb-а сканер запусается. На днях одну систему лечил так.
Троян в обычном режиме хорошо маскировался.

В ответ на: Поставил 8 штук критических.
Ну славно. По-чаще заглядывай на сайт МС.
В ответ на: Что ли Dr. Web поставить?
Попробуй. Снести всегда успеешь.
"Nell'era Delle Сamminatore"
КопироватьСсылка
Рассказать друзьям
Gebb
activist
Сообщений: 132
25.07.04 23:38Ответ на сообщение Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
Что я еще пробовал:
SAV 9.0.338a не получилось поставить.
Попробовал Norton Antivirus 2004, 2005b.
2004 не смог нормально крякнуть, а 2005b обновляться не захотел. Тем не менее,
2004-й встал и обновился, пообещав, что проработает 15 дней. Жаль, вируса в system.exe не признал, чем и приговорил себя к анинсталлу. (Для меня это сейчас больная тема. Очень хочу чтоб антивирус именно этого зверя давил.)

Итог.
Надоело с этим неуловимым Джо возиться - я признал свое поражение.
Сделал format C:
По новой ставил весь софт. Решил попробовать Dr. Web, и он меня приятно удивил. Базы обновляются ОЧЕНЬ быстро. (По сравнению с NOD32 так вообще фантастически быстро.) Мего трояна, сохраненного в архиве, он классифицировал как Trojan.PWS.LDPinch.165. Пока Доктора и оставил.
А образ C: я на всякий такой случай NeroBackItUp'ом на DVD-шку залил.

Cпасибо всем, кто откликнулся. Проблема решена. (Временно?)
You know what I really want in a girl? Me! (c)BHG
КопироватьСсылка
Рассказать друзьям
ganymed
просто пользователь
Сообщений: 18850
26.07.04 09:28Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
И вот чего бы это не сделать ранее? До того, как форматнуть винт.

"Nell'era Delle Сamminatore"
КопироватьСсылка
Рассказать друзьям
Gebb
activist
Сообщений: 132
26.07.04 12:09Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавит пользователя ganymed
И вот чего бы это не сделать ранее? До того, как форматнуть винт.

Да. Тупанул слегонца. :-(
You know what I really want in a girl? Me! (c)BHG
КопироватьСсылка
Рассказать друзьям
Vovis
guru
Сообщений: 6299
26.07.04 19:55Ответ на сообщение Re: Вирус Trojan.PSW.LdPinch.gen. Помогите избавиться! пользователя Gebb
По сравнению с NOD32 так вообще фантастически быстро
вот только что обновил нод, опять 1,7 метра (каждый раз заново всю свою базу заливает)
TEMPORA MUTANTUR, ET NOS MUTAMUR IN ILLIS.
"Никогда не доверяй женщинам ...!"
My Motherland - the USSR...
КопироватьСсылка
Рассказать друзьям

НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /

Перейти в форум

открыть в новом окне

Модераторы: