Какой-то следящий троян , HELP

[Magic_Mushroom]

в общем обнаружил какой-то троян, что это и как с ним бороться?
скан avz

Спойлер

2 desktop.ini c рабочего стола

Спойлер

скрин всех процессов

Спойлер

 

[Антоха]

в общем обнаружил какой-то троян, что это и как с ним бороться?

Это может быть и не троян.Перехваты может создавать и антивирусная защита,а AVZ всего лишь регистрирует их.

 

[Антоха]

Просканируй чем-нибудь обычным:курейтом или Kaspersky Rescue Disk.AVZ для профессионалов,половина из того,что он показывает-ложная тревога.Так что этой утилитой можно больше навредить системе если неумело пользоваться.Ну или почитай

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.

 

[Magic_Mushroom]

сканирую сейчас нодом
а что на счет desktop.ini?
что-то очень подозрительные строчки там

 

[Magic_Mushroom]

Это может быть и не троян.Перехваты может создавать и антивирусная защита,а AVZ всего лишь регистрирует их.

из антивирусов только Eset Smart Sesurity

 

[Nedovirus]

Этого скрина АВЗ недостаточно для диагноза. По нему видно лишь одно: сплайсингом перехвачены несколько фунок в юзермоде в либе user32, которые отвечают за дисплей\окна. Сделать это мог либо нод, либо еще какая-то тулзень. Нод мог сделать это для двух целей: отслеживание винлоков или определение полноэкранного игрового режима. На память не помню делает ли он такие перехваты или нет, но на троян это вообще не похоже - слишком нетипичные перехваты для трояна, хотя на 100% исключить трояна нельзя. Потому согласен с идеей проверки CureIt-ом и Avptool от каспера. Если они ничего не найдут, то вряд ли есть какая-то зараза. Вот рекламу (тулбар\левые настройки браузера, что ведет к рекламе) они могут и не найти, а вот живую малварь в системе, которая ставит хуки - точно найдет хотя бы один.

 

[X-Shar]

Кстати CureIt обнаруживает "Легальные" программы типо там РМС и т.д., поэтому тоже рекомендую просканить разок, если там что-то внедрилось из "Легального" софта должен как минимум уведомить ! ;)

Что касается desktop.ini файлов, то по идеи эти файлы нужны для как минимум хранения настройки значка папки и права доступа и т.д.

Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...

 

[Rufus]

Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...

Просто у него в настройках папки,включено "Показ скрытых системных файлов".

 

[Magic_Mushroom]

Просто у него в настройках папки,включено "Показ скрытых системных файлов".

да:)

Что касается desktop.ini файлов, то по идеи эти файлы нужны для как минимум хранения настройки значка папки и права доступа и т.д.

Они не должны отображаться, возможно это глюк винды, у меня кстати как-то тоже такое было, можно эти файлы спокойно удалить если напрягает...

меня просто смутила вот эта строчка, поэтому и выложил их
Remote Desktop Connection.lnk=@%SystemRoot%\system32\mstsc.exe,-4000

 

[X-Shar]

да:)

меня просто смутила вот эта строчка, поэтому и выложил их
Remote Desktop Connection.lnk=@%SystemRoot%\system32\mstsc.exe,-4000

Ну по моему мнению ничего страшного...

Секция LocalizedFileNames - Позволяет управлять отображаемыми именами файлов данной директории.

Если по простому, то если например необходимо переместить стандартный ярлык отображаемый как "Удалённый рабочий стол" (А файл mstsc.exe это именно он и есть) (настоящее имя Remote Desktop Connection.lnk) на рабочий стол, с помощью проводника, или чего либо, то он будет отображаться как "Remote Desktop Connection"...

Если честно неочень понимаю для чего это нужно, но вредоносного ничего в этом нет...

Вот остальные секции можете посмотреть:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Что-то такого вредоносного или "Шпионского" в этих файлах вроде нет-же !