TVS Posted November 26, 2007 Report Share Posted November 26, 2007 (edited) Каспер сообщил о трояне и удалил (в карантин): C:\Documents and Settings\......\Application Data\Opera\Opera\profile\cache4\opr00C0I.htm Троянская программа Trojan.IRC.KarmaHotel С сайта Касперского: Эта троянская программа представляет собой 2 скрипта в HTML-файле. При запуске инфицированной HTML страницы на диск записывается VBS-часть "троянца".VBS-часть в свою очередь создает еще одну часть (INI-файл), ищет и модифицирует файл настроек клиента mIRC таким образом, что разрешается реакция клиента mIRC на команды удаленных пользователей и отключается система предупреждений mIRC на опасные события. Далее к клиенту mIRC подключается специальный файл настроек, который позволяет управлять инфицированным компьютером, скачивать и закачивать на инфицированный компьютер файлы, подслушивать "приватные" разговоры в mIRC и т.д. Кеш почистила, временные файлы тоже, нужно ли еще что проверить? Еще хочу спросить как вычистить в ручную кеш, кукисы и врем.файлы (если такие есть там) в Firefox-e и Опере. Edited November 26, 2007 by TVS Link to comment Share on other sites More sharing options...
ser208 Posted November 26, 2007 Report Share Posted November 26, 2007 (edited) Эта папка, в которой Каспер нашел страничку с вредоносным скриптом, и есть кеш. Т.е. cashe4. Также можешь зайти Инструменты -- Настройки -- Дополнительно -- История -- Дисковый кеш -- Очистить сейчас. Также Инструменты -- Дополнительно. Там и куки, и кеш. Если скрипты у тебя отключены по умолчанию, то ничего не произошло. Оперу "профиль для одного пользователя" ты тоже ставить не стала? Ну ладно. Для ser208: Вот сегодня троянчик нас порадовал. В Опере между прочим! Сколько лет, сколько зим! Ну допустим Опера не антивирус и распознавать вредоносный код (скрипты в данном случае) не способна. Закачивать *.htm в кеш -- ее прямая обязанность. Был ли обработан данный скрипт -- вопрос и браузер тут лишь выполнял свою работу. Подробнее нужно проконсультироваться у Saule. Edited November 26, 2007 by ser208 Link to comment Share on other sites More sharing options...
TVS Posted November 26, 2007 Author Report Share Posted November 26, 2007 ser2008 В папках по указанным адресам ничего нет. А вот скрипты у меня включены. Некоторые форумы без них вообще не грузятся. Еще попутный вопрос: А достаточно будет для своих посещаемых сайтов для кукисов поставить - Принимать только cookies с посещаемого веб-узла и удалять по выходе из Оперы? Link to comment Share on other sites More sharing options...
ser208 Posted November 26, 2007 Report Share Posted November 26, 2007 (edited) Все, в последний раз пишу, что для любого форума конкретно можно включить скрипты, когда по умолчанию они выключены. Для этого, когда ты на этом форуме, по правой кнопке мыши "Изменить настройки узла". Ставишь там галочки на "скриптах". Теперь для этого конкретного форума скрипты всегда будут включены. ВСЕГДA! Удалять кукисы при выходе -- тоже не выход :) Пароли не будут сохраняться. Также отключи все куки по умолчанию, а для нужных сайтов и форумов также по правой кнопке "Изменить настройки узла" поставь "Принимать куки с посещаемого сайта". Куки будут включени для этого сайта или форума всегда. Edited November 26, 2007 by ser208 Link to comment Share on other sites More sharing options...
Roader Posted November 26, 2007 Report Share Posted November 26, 2007 TVS, а IRC клиентом mIRC пользуешься? Как я понял, именно его конфигурационный ini файл модифицирует vbs скрипт. Я бы ещё произвёл поиск *.vbs файлов созданых в тот день. Если ничего не будет найдено и у тебя нет mIRC-а, то особых поводов для безпокойства не вижу. Тем более, не факт, что скрипт в html коректно сработал в Опере (думаю, что касперский закричал бы и на vsb). Link to comment Share on other sites More sharing options...
студент_86 Posted November 27, 2007 Report Share Posted November 27, 2007 http://www.softboard.ru/index.php?s=&s...st&p=288281 Программы, очищающие кеш, историю и еще кое-что. Стандартными средствами винды и браузеров кеш очищается не полностью. Link to comment Share on other sites More sharing options...
TVS Posted November 27, 2007 Author Report Share Posted November 27, 2007 Roader, спасибо. Клиентом mIRC не пользуемся. Все файлы еще вчера просматривала, ничего подозрительного не было, *.vbs тоже ничего не находит. А сканирование всей системы так неохота делать. Можно наверное, на этом пока закончить. А вообще-то началось с того, что один тут пользователь насовал в комп каких-то дисков, при этом естественно, отключив каспера, зачем он ему нужен! Добровольно-принудительно один диск заставила проверить, все было ОК, так видно еще понатыкали. Потому как в каспере записи об обнаружении шпионов на CD присутствуют. студент_86 Спасибо. Но я люблю чистить все вручную. ATF-Cleaner http://img99.imageshack.us/img99/5687/atffjh1.gif Я не очень понимаю, она что молча скопом вычистит все установленные браузеры и всех юзеров одним махом? А что такое кнопка Donate? CleanUp! пользоваться опасаюсь, она у меня есть, очень долго разбираться, что ей чистить, а что нет, она может прихватить лишнего. Например, у меня есть мои файлы в именах которых присуствуют символы типа "~" и т.п. В CCleaner (Crap Cleaner) Заинтересовало, что означает пункт - Файлы журналов Windows - что это, именно временные файлы связанные с журналами, или сами файлы журналов? Link to comment Share on other sites More sharing options...
Wu-Tang Posted November 27, 2007 Report Share Posted November 27, 2007 TVS: Что касается очистки вручную всего интересуещегося, в опере, то в теме про Оперу уже миллион раз обсуждали... Так что можешь ее почитать! Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now