Вообщем дело обстоит довольно серьёзно..

Незнаю сталкивался ли кто из вас с прогой, которая ворует УО пароли....Мне на днях пришлось с ней повозиться...

Короче, это такой короткий гуайд, который поможет вам НЕ пожцепить, ну или если уж подцепили, то избавиться от этой гадости!

У меня в АСЕ, уже очень давно (годжа наверное 3), есть человек с ником Wiz (267-960-407). Мы с ним очень дружили, я его даже у себя в товере прописывал, бегали вместе и т.д.

На днях он мне присылайт файл mers.exe ну файл мне сразу не понравился, но всёже долголетнее знакомство с человеком, и хорошее о нем мнение взяли верх (такой большой, а до сих пор в сказки верю).

Ну запустил я этот файлик...Ничего там особенного...Куча негров, сидит на раздолбанном грузовичке, который под ними прогибается....

Но всётаки явно чуствую что "чтото тут не так"...Запускаю Таск менеджер...В процессах явно чтото происходит...Ну короче чтоб не тамить, скажу сразу:

Эта фотка (прога), прописывает в папку С:\Виндовоз файл с названием svchos.exe этот файл моментально запускается и ДАЖЕ АВТОМАТИЧЕСКИ добавляется в лист разрешённых программ в файрволе встроенном в ХР (это меня очень удивило в последствии...)

Файл "работает" постоянно....Что он делает - одному ****** известно....Но почемуто я уверен что ничего хорошего....

В общем, если подципили эту гадость:

1. Запускайте Таск менеджер и глушите его (ток не перепутайте, у виндовоза тоже есть процессы с этим именем)
2. Лезьте в настройки файрвола - и убираете оттуда этот самый svchos.
3. Заходите в папку виндоус, и стираете оттуда сам файл!

4. На всякий случай можно затереть все темпы и прочие временные файлы...


Надеюсь эта инфа будет полезна!!!


З.Ы. БУДЬТЕ БДИТЕЛЬНЫ!!!!!

З.Ы.Ы. А ещё надеюсь что может быть это не Виз, и может ктото спёр у него АСЬКу и рассылает эту гадость от его имени....

Мне тоже эту фигню присылал ADeN. Ну я тоже сразу подумал, что это троян и даже качать нистал. Да и вообще лучше всего такие экзешники вообще не качать, даже если вам кидает их какой нибудь близкий друг.

Автор спасиб за инфу. Записал и выучил два раза! :)

Кстати, полезная информация. Обязательно сохраню ссылку на топ, хотя мой фаервол она вряд ли сможет пробить...

svchos. этот процесс у меня всегда запущен, вроде ничего еще не своровали.

Спосибо за инфу записал.

...
Запущен должен быть svchost.

Точно я такой не внимательный:)

У Виза недавно трояном украли и чара и асю, дело сейчас в ОВР будьте осторожны.

Спасиб что предупредил! Записал :)

То то я смотрю, чувак как то странно разговаривает!!!

Петроний, Сенкс тебе!!!Успокоил!

Сколько svchost.exe (который ты подозреваешь) занимает место в памяти? Ответь точно.

Слушай, ты как в воду глядел, недавно провела полную проверку своего компа на вирус и мой касперский обнаружил вот это самое что-то троянское, но не смог с ним ничего сделать. И я тоже не знаю, что с ним делать:( Нашла у себя эти файлы, о которых ты писал выше, удалила их, сейчас провожу повторное вскрытие..

Сколько svchost.exe (который ты подозреваешь) занимает место в памяти? Ответь точно.


Ещё раз повторяю: В ПРОЦЕССАХ, ОН НАЗЫВАЕТСЯ svchos.exe а не svchost.exe !!!!

Сколько он жрёт памяти - не знаю, но размер файла 78кб!!!


Эзили - надеюсь эта инфа тебе поможет ДО того, как что нибуть у тебя своруют....

А вот НОД (в отличии от кашпировского), этого гада не засёк... :(

мне тож присылал
я на такое даж внимания не обращаю

Спасибо за инфу...Хорошо что есть такие хорошие люди...

никогда не верьте людям в Уо (с)
а на счет файлов.... создай на диске D папку и принемай туда файлы... каждый файл првоеряй:)


PS если человеку понадобится украсть что-то и он в этом мыслит, ему не нужны проги.. быстрее сломается..

никогда не верьте людям в Уо (с)
а на счет файлов.... создай на диске D папку и принемай туда файлы... каждый файл првоеряй:)

О великий и умнейший Таргус!!!Что бы мы без тебя делали все!!!И без твоих не по годам, умных советов!!!

1. Насчёт того что нельзя верить людям в УО!
Хочу тебе возразить, и могу привести нескольких людей, которым я не то что верю, но за которых голову положу!!!

2. Хоть на D записывай, хоть на Х!!!При запуске - файл всё равно распакуется!!!


3. Антивирусы ПОНИМАЮТ ТОЛЬКО известные, и широко распространённые вирусы и трояны!!!А этот троянчик, написан каким то умельцем, НЕ для широкого распространения, а именно для тех, кто играет на оскоме...

Прикиньте, как нас ктото любит!!!Сколько он себе голову ломал, чтоб нам СЮРПРИЗЫ сделать....

З.Ы. Прошу администрацию убрать весть трёп и закрепить топик!

Ухххх Спс Огромное что предупредил %) Вообще респект тебе чювак %)

svchos. этот процесс у меня всегда запущен, вроде ничего еще не своровали.аналогично=)
спасибо что предупредил)))

Да валенор это чувак очень умный слушайте его внимательно дело чувак говарит ... Потому что у нас на свете есть такие люди которые любят гадости какие нить тебе подсунуть или троянчик или вирус виде червя который жерает утя все что есть или связаное с определенной папкой ... ВАЛЕНОР ты молодец так держать ,,,, От пингера

Да, подтверждаю, что у Виза украли и чары и аську. Поймаю того, кто это сделал - всех чаров нахрен забаню.

Гы, мне тоже присылали 2 раза =)) С одной аськи, там смайлик в нике... Но Касперский ругнулся и я запускать не стал. ДА и вообще не имею привычки запускать незнакомые екзешники...

325-281-416 ( ~_$ MaLoY $_~ )
Хех етому челу я помогал в УО , а он мне пытался сам впарить ету мутату!

Угу меня тоже виз Просил принять этот фаил ) я на всякий случай отказался)

Тоже присылал ещё чел в уо в аське ник Maloj вроде так,но он уже в игноре после этого файла!:) ася 325-281-416 кидаем все дружно в игнор!

Да, подтверждаю, что у Виза украли и чары и аську. Поймаю того, кто это сделал - всех чаров нахрен забаню.

Надеюсь что этот топ, ускорит решение вопроса о краже чара Виза!И ОВР заценит количество постов на тему.... "...И мне, и мне тоже присылали...."

Если держиш связь с Визом - привет ему от меня и РЕСПЕКТ!

ДА уж не ожедал от виза.

ДА уж не ожедал от виза.

Тупой чтоли?Читать учись....

Тупой сам я не читал последуйщие топы, просто флудил:)

Может кто то уже это писал, да и автор коснулся этой темы. svchost в винде называются все системные службы. Их может быть запущено очень много, так что когда будете отрубать, отрубайте по времени запуска(самый новый).

Up!Up!Up!

Спасибо за инфу

у меня этих штук когда льт контр дель жмешь штук 6 сразу,3 маленькими буквами,и еще 3 большими такими.. уфф

Valinor, честно хочу сказать , как винду XP поставил, этот файл был уже в комплекте ... И еще не чего не украли :) ... ну покрайней мере пока неукрали ...
Скорее всего что то другое...

PS Спасибо за инфу 8-)

To Раптор & Квакер - Ребят, ну читайте хоть ВНИМАТЕЛЬНЕЕ что умные люди пишут!!!!

В винде, в папке C:\Windows НЕ ДОЛЖНО БЫТЬ НИКАКИХ svchos.exe так же как и в процессах ДОЛЖНЫ БЫТЬ ЗАПУЩЕННЫТ ТОЛЬКО SVCHOS[T].exe а НЕ SVCHOS.exe!!!

Мне тоже этот файлик прислали, причем прислал знакомый в реале. Учимся в одной путяги. Но зная что он наркоман ждать от него ничего хорошего не стал, и не принял этот файлик. А тут смотрю такай топик. Морду бы ему набить за такие дела, да не буду, что с дурочка взять. Вот кстати его ася 274-456-900. Это кстати тот самый ADEN о котором упоменалось в начале. Так что кидайте его все дружно в игнор. И никогда с ним не связавайтесь!

Насколько я знаю есть ещё такая прога называется "клавиатурный шпион"

3. Антивирусы ПОНИМАЮТ ТОЛЬКО известные, и широко распространённые вирусы и трояны!!!А этот троянчик, написан каким то умельцем, НЕ для широкого распространения, а именно для тех, кто играет на оскоме...

В этом трояне используеться механизм известого любого антивирусу трояна "Lamer Death".

В этом трояне используеться механизм известого любого антивирусу трояна "Lamer Death".

Ворк, возможно ты и прав, но может быть мы говорим о разных троянах...

Во всяком случае мой NOD32 (Eset) его не обнаружил...

Хотя, помнится, кто-то тут писал, что Кашпировский на него ругнулся... (Но НИХРЕНА не стёр...)

Схема описаная тобой - принцип работы взятый с Lamer Death, возможно с настройками функций под уо/icq пароли. АВП должен определять его. Кстати после его лечения, а иногда после корявой настройки самого трояна (покрайней мере Lamer Death) ваша винда будет запускаться без ярлыков рабочего стола - будет тока фон. Если у вас вдруг началась такая фигня - стоит задуматься о антивирусе с последними базами. В хороших антивирусах есть всякие эврестические анализаторы и прочая чуш, которая помогает найти неизствестный анитивирусу троян, если он использует известную схему. Если файл кажеться подозрительным и антивирус не находит вирусов - в АВП есть функция "Отправка файла на иследование". Ихний он-лайн сервис когда я тестил находил трояны которые не находил сам антивир.

Ну НЕ ЛЮБЛЮ Я ЭТОТ АВП!!!!Ну совсем никак не люблю!!!ТОрмозит тока зря!!!

Одно слово - КАШПИРОВСКИЙ... :vis:

хотя мой фаервол она вряд ли сможет пробить...
Оххх, не зарекайся :)
Есть, и широко распространены функции,на там же паскале, которые снимают из процессов всякие *программы защиты* и сильно калечат их.
Так, что лучше не испытавать судьбу :)