[hacking] dll używany przez putty wykryty jako trojan

[Saint]

Ostatnio Nod32 swiruje niektóre programy są brane za zainfekowane bez powodu ... tak jest w przypadku komunikatora AQQ.

[PawelC]

Ostatnio Nod32 swiruje niektóre programy są brane za zainfekowane bez powodu ... tak jest w przypadku komunikatora AQQ.

Potwierdzam z AQQ

[Mion]

Jakoś sytuacje opanowałem wiec napiszę jak by ktoś miał podobny problem:

Wyleczyłem z trojanów przez usunięcie wszystkich zainfekowanych plików jakie wykrył NOD w katalogu:

ale nadal pomino przeszukania w pamięci problem z monitem o braku DLL występował. Dopiero po przewróceniu systemu do punktu parę dni wstecz problem zniknął

[truvati]

Polecam wszystkim dopisać do haseł przechowywanych w programach takich jak totalcommander ustalony ciąg znaków, przy nawiązaniu połączenia można szybko zmienić hasło i poprawnie nawiązać połączenie z serwerem a trojan nam nie zrobi bubu na stronie

[Mion]

Ja nie miałem totalcommander, nie instalowałem jakiś dziwnych aplikacji, nie otwierałem załączników w mailach itd do tego miałem włączonego NODA, a mimo wszystko się załapałem na opisany problem. Jedynie odsępstwo miało miejsce wczoraj, bo z kolegi pena - obcego pena ;] oglądałem zdjęcia, ale i tak z aktywnym NODE'm32.

[Qbexus]

Mion bez paniki takie kwiatki to się łapie na pena w xero na uczelni i w 1000 innych miejsc nie mówiąc już o samym necie.

J mam awasta + destroy cośtam cośtam i winde xp od 2 lat nie reinstalowana. Kilkukrotnie łapałem jakieś świństwa ale praca na rejestrze skuteczne w tym pomogła. Podstawa to kopia najważniejszych plików a w tedy można pokazaczyć.

[kolryb29]

Dobry antivir i firewall, troszke czujności, od czasu do czasu przeglądanie procesów, usług i zaglądanie do msconfig.

Niestety peny to teraz bardzo łatwe narzędzie do robienia syfu, dlatego warto mieć dobrze ustawiony antivir, żeby łapał wszystko co trzeba.

Mały OT: Ostatnio wpadł mi w ręcę darmowy antivir z firewallem - Comodo, polecam dla tych którzy lubią testować nowe aplikacje, programik pyta się o prawie wszystko (ale nie jest to uciążliwe jeśli znamy podstawowe słówka angielskie).

[Mion]

Długo się nie cieszyłem, bo dzisiaj mam to samo z wyskakującym monitem o DLL przy uruchamianiu aplikacji łączących się z netem, ale tez nie tylko. Bryy do tego NOD nie monituje o aktywności jakiegoś wirusa. Czuję, że świąteczne porządki będę musiał rozszerzyć o format C

[Inco]

Spróbuj użyć combofixa https://www.combofix.org/. Prawdopodobnie ta dllka dopisała ci się jako usługa sieciowa do klucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet , przeszukaj tą gałąź na występowanie nazwy tej dllki.

[Maximus Marius]

Ilość miejsc gdzie można coś ukryć i uruchomić w windows jest dość spora , a na dodatek to coś co "siedzi" może kontrolować system w taki sposób żę inne procesy nawet nie widzą tego nazwijmy to "virusa". Ostatnio dość modne jest pisanie sterowników-wirusów i tak jak napisał Inco można je szukać w CurrentControlSet

Jedyna "powiedzmy" ze skuteczna metoda to wyciągnać dysk i skanować na innym komputerze, bo takie skanowanie z zarażonego komputera troche mi sie kojarzy z podciąganiem się samemu za włosy , ewentualnie jakas płyta bootowalna z antywirusami

Do testowania czy komputer jest zdrowy najlepiej użyc jakiegoś firewall-linux-a po drodze do interentu. Zdrowy komputer nie wysyła co chwile jakiś dziwnych pakietów w swiat. A taki "wyleczony" to nawet jak nic nie widac na pulpicie to w pakietach sciaga sobie skasowane pliki

[Inco]

Maximus Marius zgadzam się z tym że takie skanowanie to o kant tyłka rozwalić ale jednak radze użyć combofixa, bo jest to naprawdę specyficzny skaner( właściwie całkiem zatrzymuje system na czas skanowania ).

[Mion]

Taka ciekawostka w nawiązaniu mojego problemu:

Za nic się dziś nie mogę pozbyć wirusa czy jak go tam nazwać, bo antywiry nic nie wykrywają HijackThis też nic, a bez tej trojańskiej heleny(czytaj DLL'ki) prawię nic nie mogłem uruchomić brrrY. Wiec wpadłem na pomysł napisania własnej z takim punktem wejścia(funkcją) jaka jest z niej wywoływana:

extern "C" __declspec(dllexport) void __stdcall ttvvr();
#pragma argsused
int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved){return 1;}
void __stdcall ttvvr(){}

jej podmiany no i działa . Wiem, że jest to swoiste "leczenie syfa pudrem", ale zawsze daje to pewne pole manewru na przygotowanie się do nieuchronnego format C Brrr.

[SirZooro]

Wrzuć tą DLLkę gdzieś, bo jak podejrzewam większość z osób tutaj nie wie co zrobić z kodem który podałeś

[Trotyl]

Ciekawe rozwiązanie problemu Spróbuj jeszcze mrt.exe

[shad]

W sumie putty na pewno nie korzystaj z tej biblioteki, tablica importu w mojej wersji pokazuje ze korzysta z ADVAPI32.dll. W sumie w windowsie wira można umieścić w bardzo wielu miejscach, sterowniki, kodeki, strumienie itd.