• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирусы-трояны. Логи

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
19,535
Реакции
13,438
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteRepair(19);
end.

А можно проблему по подробнее описать?
 

Indomito

Активный пользователь
Сообщения
51
Реакции
32
Баллы
408
akoK Приветствую.

И так по порядку...
1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.

Так это пред история.
Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
- Trojan.DownLoader1.14329
- Trojan.Siggen1.61396
Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...

Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.

После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.

Запомнил только инф. файлы по именам и расположению.
C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
C:\WINDOWS\system32\player.exe

В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):
08.07.2010 17:47:52 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe C:\Program Files\Bonjour\mdnsNSP.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

08.07.2010 17:48:06 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

08.07.2010 17:48:33 Заблокировано правилом защиты доступа SASA\SASA C:\Program Files\Skype\Phone\Skype.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Performance\Error Count Стандартная общая защита:Обеспечить защиту сетевых настроек Действие заблокировано: Удалить

08.07.2010 17:48:33 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe C:\Program Files\Bonjour\mdnsNSP.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.

Добавлено через 1 час 24 минуты 47 секунд
Ничего не нашли... думаю тему можно прикрыть.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,535
Реакции
13,438
Баллы
2,203
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Indomito

Активный пользователь
Сообщения
51
Реакции
32
Баллы
408

akok

Команда форума
Администратор
Сообщения
19,535
Реакции
13,438
Баллы
2,203
Активного заражения не вижу.
 

Indomito

Активный пользователь
Сообщения
51
Реакции
32
Баллы
408
akoK, да покопался в куках и нашёл куда вела программа - это _http://ero.ru/profile.php (WOT - низкий рейтинг), там предлагают её и скачать, но вот как инсталятор это ПО попал на комп... хз.
 

akok

Команда форума
Администратор
Сообщения
19,535
Реакции
13,438
Баллы
2,203
Indomito, у пользователя спросили?
 

Indomito

Активный пользователь
Сообщения
51
Реакции
32
Баллы
408
akoK, запрос не проверял, просто есть кнопка скачать, те насильно не прописывают... хотя у меня включена защита... надо проверять на другом компе и чистом профиле и желательно на IE.
McAfee SA - тут
Google SB - тут

Странный ресурс... весьма. Малваре+развод+sms+ и тд.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,535
Реакции
13,438
Баллы
2,203
так или иначе я не вижу признаков активного заражения.
 

Indomito

Активный пользователь
Сообщения
51
Реакции
32
Баллы
408
akoK, ты про ресурс _http://ero.ru или про комп?

И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.

PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу