Skocz do zawartości

[hacking] dll używany przez putty wykryty jako trojan


Mion

Rekomendowane odpowiedzi

Jakoś sytuacje opanowałem wiec napiszę jak by ktoś miał podobny problem:

Wyleczyłem z trojanów przez usunięcie wszystkich zainfekowanych plików jakie wykrył NOD w katalogu:

wyleczone.jpg

ale nadal pomino przeszukania w pamięci problem z monitem o braku DLL występował. Dopiero po przewróceniu systemu do punktu parę dni wstecz problem zniknął :)

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Polecam wszystkim dopisać do haseł przechowywanych w programach takich jak totalcommander ustalony ciąg znaków, przy nawiązaniu połączenia można szybko zmienić hasło i poprawnie nawiązać połączenie z serwerem a trojan nam nie zrobi bubu na stronie :)

brak sygnatury

Odnośnik do komentarza
Udostępnij na innych stronach

Ja nie miałem totalcommander, nie instalowałem jakiś dziwnych aplikacji, nie otwierałem załączników w mailach itd do tego miałem włączonego NODA, a mimo wszystko się załapałem na opisany problem. Jedynie odsępstwo miało miejsce wczoraj, bo z kolegi pena - obcego pena ;] oglądałem zdjęcia, ale i tak z aktywnym NODE'm32.

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Mion bez paniki takie kwiatki to się łapie na pena w xero na uczelni i w 1000 innych miejsc nie mówiąc już o samym necie.

J mam awasta + destroy cośtam cośtam i winde xp od 2 lat nie reinstalowana. Kilkukrotnie łapałem jakieś świństwa ale praca na rejestrze skuteczne w tym pomogła. Podstawa to kopia najważniejszych plików a w tedy można pokazaczyć.

Odnośnik do komentarza
Udostępnij na innych stronach

Dobry antivir i firewall, troszke czujności, od czasu do czasu przeglądanie procesów, usług i zaglądanie do msconfig.

Niestety peny to teraz bardzo łatwe narzędzie do robienia syfu, dlatego warto mieć dobrze ustawiony antivir, żeby łapał wszystko co trzeba.

Mały OT: Ostatnio wpadł mi w ręcę darmowy antivir z firewallem - Comodo, polecam dla tych którzy lubią testować nowe aplikacje, programik pyta się o prawie wszystko (ale nie jest to uciążliwe jeśli znamy podstawowe słówka angielskie).

Odnośnik do komentarza
Udostępnij na innych stronach

Długo się nie cieszyłem, bo dzisiaj mam to samo z wyskakującym monitem o DLL przy uruchamianiu aplikacji łączących się z netem, ale tez nie tylko. Bryy do tego NOD nie monituje o aktywności jakiegoś wirusa. Czuję, że świąteczne porządki będę musiał rozszerzyć o format C :)

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Ilość miejsc gdzie można coś ukryć i uruchomić w windows jest dość spora , a na dodatek to coś co "siedzi" może kontrolować system w taki sposób żę inne procesy nawet nie widzą tego nazwijmy to "virusa". Ostatnio dość modne jest pisanie sterowników-wirusów i tak jak napisał Inco można je szukać w CurrentControlSet

Jedyna "powiedzmy" ze skuteczna metoda to wyciągnać dysk i skanować na innym komputerze, bo takie skanowanie z zarażonego komputera troche mi sie kojarzy z podciąganiem się samemu za włosy , ewentualnie jakas płyta bootowalna z antywirusami

Do testowania czy komputer jest zdrowy najlepiej użyc jakiegoś firewall-linux-a po drodze do interentu. Zdrowy komputer nie wysyła co chwile jakiś dziwnych pakietów w swiat. A taki "wyleczony" to nawet jak nic nie widac na pulpicie to w pakietach sciaga sobie skasowane pliki :)

Odnośnik do komentarza
Udostępnij na innych stronach

Taka ciekawostka w nawiązaniu mojego problemu:

Za nic się dziś nie mogę pozbyć wirusa czy jak go tam nazwać, bo antywiry nic nie wykrywają HijackThis też nic, a bez tej trojańskiej heleny(czytaj DLL'ki) prawię nic nie mogłem uruchomić brrrY. Wiec wpadłem na pomysł napisania własnej z takim punktem wejścia(funkcją) jaka jest z niej wywoływana:

extern "C" __declspec(dllexport) void __stdcall ttvvr();
#pragma argsused
int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved){return 1;}
void __stdcall ttvvr(){}

jej podmiany no i działa :). Wiem, że jest to swoiste "leczenie syfa pudrem", ale zawsze daje to pewne pole manewru na przygotowanie się do nieuchronnego format C Brrr. :)

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Wrzuć tą DLLkę gdzieś, bo jak podejrzewam większość z osób tutaj nie wie co zrobić z kodem który podałeś :)

Polecam moje pluginy do WordPress'a: WyPiekacz, Meta SEO Pack, User Locker, Google Integration Toolkit i wiele innych :)

Poradnik Webmastera ‰ Ostatnio na blogu:

PoradnikWebmastera-Blog.1.gif

Odnośnik do komentarza
Udostępnij na innych stronach

W sumie putty na pewno nie korzystaj z tej biblioteki, tablica importu w mojej wersji pokazuje ze korzysta z ADVAPI32.dll. W sumie w windowsie wira można umieścić w bardzo wielu miejscach, sterowniki, kodeki, strumienie itd.

Aplikacje internetowe, systemy wspomagające SEO, programy pod Windows i Linux, info na https://shad.net.pl - dopisz się do Katalogu Firm

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności