Решена Вирусы-трояны. Логи

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Indomito, 8 июл 2010.

Статус темы:
Закрыта.
  1. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteRepair(19);
    end.
    А можно проблему по подробнее описать?
     
  3. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    akoK Приветствую.

    И так по порядку...
    1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.

    Так это пред история.
    Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
    - Trojan.DownLoader1.14329
    - Trojan.Siggen1.61396
    Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...

    Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.

    После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.

    Запомнил только инф. файлы по именам и расположению.
    C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
    C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
    C:\WINDOWS\system32\player.exe

    В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):
    Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.

    Добавлено через 1 час 24 минуты 47 секунд
    Ничего не нашли... думаю тему можно прикрыть.
     
    Последнее редактирование: 8 июл 2010
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  5. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Активного заражения не вижу.
     
  7. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    akoK, да покопался в куках и нашёл куда вела программа - это _http://ero.ru/profile.php (WOT - низкий рейтинг), там предлагают её и скачать, но вот как инсталятор это ПО попал на комп... хз.
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Indomito, у пользователя спросили?
     
  9. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    akoK, запрос не проверял, просто есть кнопка скачать, те насильно не прописывают... хотя у меня включена защита... надо проверять на другом компе и чистом профиле и желательно на IE.
    McAfee SA - тут
    Google SB - тут

    Странный ресурс... весьма. Малваре+развод+sms+ и тд.
     
    Последнее редактирование: 8 июл 2010
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    так или иначе я не вижу признаков активного заражения.
     
  11. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    akoK, ты про ресурс _http://ero.ru или про комп?

    И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.

    PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.
     
Статус темы:
Закрыта.

Поделиться этой страницей