Антивирус Касперского переодически выдаёт сообщение:
"URL-адрес http://whoismistergreen.com/runk/c.php, содержащий вредоносную программу, запрещен"
"URL-адрес http://patr1ckjane.com/runk/c.php, содержащий вредоносную программу, обнаружен",
За последние 3 дня в сети уже 4 компьютера с подобными сообщениями.
Касперский ничего не находит.
Последний раз редактировалось Bratez; 07.12.2011 в 18:18.
Причина: деактивировал ссылки
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bari, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Логи выкладывал, когда программы запускались от имени локального администратора. А по моим наблюдениям сообщения о блокировке загрузки вредоносного ПО выскакивают исключительно от пользователя. (У нас домен). Помимо MBAM может стоит запустить AVZ и HiJackThis под пользователм и эти логи приложить?
Уже пофиксил, результата нет. попытки открытия продолжаются. На другой машине в реестре данный ключ реестра имеет другое значение (ya.ru), однако попытки загрузки продолжаются. Странность: после удаления ключа реестра и перзагрузки в устройствах нашлось новое оборудование, но так как под пользователем его установить нельзя, висело под восклицательным знаком. Устройство в корне ROOT\уже не помню\набор букв. Удалил. Сделал принтскрин, но приложить не могу, так как уже дома. Попытался найти аналогичное устройство на другой машине (Safe mode, cmd, set devmgr_show_nonpresent_devices=1, devmgmt). Аналогии не нашел. Еще раз повторюсь, попытки загрузки продолжаются. Понять как - не могу. Указанные URL заблокированы мною на проксе. Есть предположение, что через контроллер домена... но там заблокировано все кроме VPN для удаленки. Запустил полную проверку и прокси (она на винде, ну.. так надо.. там KIS) и на контроллере домена.
PS Ради эксперимента, на одной из зараженных машин обновил JAVA и Flash. В понедельник отпишусь по результатам.
PSS Проверка и Контроллера и Прокси ничего не дала. Нашел собственный косяк, на внешнем интерфейсе домена нет фильтров по VPN. Точно помню, что создавал. В понедельник добавлю. Очевидно, что попытка загрузки вируса идет мимо прокси, через контроллер домена, хотя шлюзом является прокси, а контроллер только DNS. Вот тут что-то залип. Надо попробовать на локальной машине при отключенном прокси в интернет зайти. При текущих настройках, понимаю, что в любом случае пакеты пойдут через прокси, но каким образом при явном запрете в deny-листе загрузчик все-таки пытается вирус скачать????
Последний раз редактировалось bari; 09.12.2011 в 23:20.
Последний DRweb обнаружил вредоносное ПО. Запускался в усиленном режиме. Папки карантина я не нашел. (Нет на диске папки Quarantine), есть только лог. Прикладываю.
1c восстановил сразу. Проблема исчезла позавчера, после лечения последним DRWeb. К сожалению папки карантина он не создал (по непонятным причинам), но лог я выкладывал. Заражение, по моим предположениям, происходит через JAVA. Вместе с OpenOffice ставится старая версия (6.26), на всех машинах обновил до 6.29. Сначала закачивается файл типа 0.33629077985759337fdrgs.exe, потом происходит установка прав отладчика какому-то Bulge Palm Pencil. В итоге нашел в папке Application Data странную папку Microsoft Corporation со странным файлом внутри, который и удалил DRWeb. Сейчас наблюдаю. Пока - тишина. Касперским разочарован.
Уважаемый(ая) bari, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: