Решена Вирусы-трояны. Логи

[Indomito]

Логи...

Посмотреть вложение info.txt

Посмотреть вложение log.txt

Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение virusinfo_syscure.zip

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ExecuteRepair(19);
end.

А можно проблему по подробнее описать?

 

[Indomito]

akoK Приветствую.

И так по порядку...
1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.

Так это пред история.
Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
- Trojan.DownLoader1.14329
- Trojan.Siggen1.61396
Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...

Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.

После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.

Запомнил только инф. файлы по именам и расположению.
C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
C:\WINDOWS\system32\player.exe

В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):

08.07.2010 17:47:52 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe C:\Program Files\Bonjour\mdnsNSP.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

08.07.2010 17:48:06 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

08.07.2010 17:48:33 Заблокировано правилом защиты доступа SASA\SASA C:\Program Files\Skype\Phone\Skype.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Performance\Error Count Стандартная общая защита:Обеспечить защиту сетевых настроек Действие заблокировано: Удалить

08.07.2010 17:48:33 Заблокировано правилом защиты доступа NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe C:\Program Files\Bonjour\mdnsNSP.dll Максимальная антивирусная защита:Предотвратить исполнение процессом svchost исполняемых файлов не в формате Windows Действие заблокировано: Выполнить

Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.

Добавлено через 1 час 24 минуты 47 секунд
Ничего не нашли... думаю тему можно прикрыть.

 

[akok]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[Indomito]

akoK, Прикладываю результат.

Посмотреть вложение mbam-log-2010-07-08 (20-07-18).txt Папка D:\NO_CHECK\ создана специально для обхода проверки McAfee.

Посмотреть вложение McAfee_AccessProtectionLog.txt Сейчас отключил контроль вирусных эпидемий... может что и проявится.

 

[akok]

Активного заражения не вижу.

 

[Indomito]

akoK, да покопался в куках и нашёл куда вела программа - это _http://ero.ru/profile.php (WOT - низкий рейтинг), там предлагают её и скачать, но вот как инсталятор это ПО попал на комп... хз.

 

[akok]

Indomito, у пользователя спросили?

 

[Indomito]

akoK, запрос не проверял, просто есть кнопка скачать, те насильно не прописывают... хотя у меня включена защита... надо проверять на другом компе и чистом профиле и желательно на IE.
McAfee SA - тут
Google SB - тут

Странный ресурс... весьма. Малваре+развод+sms+ и тд.

 

[akok]

так или иначе я не вижу признаков активного заражения.

 

[Indomito]

akoK, ты про ресурс _http://ero.ru или про комп?

И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.

PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.