1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Вирусы-трояны. Логи

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Indomito, 8 июл 2010.

Статус темы:
Закрыта.
  1. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    Баллы:
    318
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteRepair(19);
    end.
    А можно проблему по подробнее описать?
     
  4. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    Баллы:
    318
    akoK Приветствую.

    И так по порядку...
    1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.

    Так это пред история.
    Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
    - Trojan.DownLoader1.14329
    - Trojan.Siggen1.61396
    Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...

    Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.

    После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.

    Запомнил только инф. файлы по именам и расположению.
    C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
    C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
    C:\WINDOWS\system32\player.exe

    В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):
    Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.

    Добавлено через 1 час 24 минуты 47 секунд
    Ничего не нашли... думаю тему можно прикрыть.
     
    Последнее редактирование: 8 июл 2010
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  6. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    Баллы:
    318
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Активного заражения не вижу.
     
  8. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    Баллы:
    318
    akoK, да покопался в куках и нашёл куда вела программа - это _http://ero.ru/profile.php (WOT - низкий рейтинг), там предлагают её и скачать, но вот как инсталятор это ПО попал на комп... хз.
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    Indomito, у пользователя спросили?
     
  10. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    Баллы:
    318
    akoK, запрос не проверял, просто есть кнопка скачать, те насильно не прописывают... хотя у меня включена защита... надо проверять на другом компе и чистом профиле и желательно на IE.
    McAfee SA - тут
    Google SB - тут

    Странный ресурс... весьма. Малваре+развод+sms+ и тд.
     
    Последнее редактирование: 8 июл 2010
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.095
    Симпатии:
    14.378
    Баллы:
    2.193
    так или иначе я не вижу признаков активного заражения.
     
  12. Indomito
    Оффлайн

    Indomito Активный пользователь

    Сообщения:
    53
    Симпатии:
    62
    Баллы:
    318
    akoK, ты про ресурс _http://ero.ru или про комп?

    И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.

    PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.
     
Статус темы:
Закрыта.

Поделиться этой страницей