Решена Вирусы-трояны. Логи

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteRepair(19);
end.
А можно проблему по подробнее описать?
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
#3
akoK Приветствую.

И так по порядку...
1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.

Так это пред история.
Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
- Trojan.DownLoader1.14329
- Trojan.Siggen1.61396
Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...

Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.

После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.

Запомнил только инф. файлы по именам и расположению.
C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
C:\WINDOWS\system32\player.exe

В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):
08.07.2010 17:47:52 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe C:\Program Files\Bonjour\mdnsNSP.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

08.07.2010 17:48:06 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

08.07.2010 17:48:33 Заблокировано правилом защиты доступа SASA\SASA C:\Program Files\Skype\Phone\Skype.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Performance\Error Count Стандартная общая защита:Обеспечить защиту сетевых настроек Действие заблокировано: Удалить

08.07.2010 17:48:33 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe C:\Program Files\Bonjour\mdnsNSP.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить
Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.

Добавлено через 1 час 24 минуты 47 секунд
Ничего не нашли... думаю тему можно прикрыть.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#4
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
#5

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#6
Активного заражения не вижу.
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
#7
akoK, да покопался в куках и нашёл куда вела программа - это _http://ero.ru/profile.php (WOT - низкий рейтинг), там предлагают её и скачать, но вот как инсталятор это ПО попал на комп... хз.
 

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#8
Indomito, у пользователя спросили?
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
#9
akoK, запрос не проверял, просто есть кнопка скачать, те насильно не прописывают... хотя у меня включена защита... надо проверять на другом компе и чистом профиле и желательно на IE.
McAfee SA - тут
Google SB - тут

Странный ресурс... весьма. Малваре+развод+sms+ и тд.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#10
так или иначе я не вижу признаков активного заражения.
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
#11
akoK, ты про ресурс _http://ero.ru или про комп?

И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.

PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу