Показано с 1 по 18 из 18.

Предупреждение центра безопасности, вулкан удачи. (заявка № 118306)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53

    Предупреждение центра безопасности, вулкан удачи.

    Здравствуйте! Внезапно выскочило предупреждение центра безопасности, потом вулкан удачи и, наконец, бабы. Перед этим кликнул на "Да, обновить флэш плеер", каюсь. Налет системы (win7) к тому моменту составлял два года, поэтому раскидав файлы на внешний диск и дропбокс, я ее и переставил с флешки; открыл браузер на чистой системе - вулкан удачи. Ок, переставил еще раз, опять с флэшки, но после первой перезагрузки системы при установке - вынул. Установил дропбокс - предупреждение системы безопасности. Помогите выследить нечисть? Он, похоже, окопался всюду - и на флэшке и внешнем диске и в дропбоксе.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) mlg, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог TDSSkiller
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Готово.
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Запустите утилиту с ключами -qmbr -qboot
    Найдите на диске С папку с карантином утилиты, запакуйте с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

    Добавлено через 1 час 25 минут

    В Интернет выходите не через роутер случайно?
    Последний раз редактировалось thyrex; 23.03.2012 в 14:11. Причина: Добавлено
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Обычно, и в момент заражения - да, через роутер. Со второй переустановки системы и по сей день - напрямую. И вот еще что: начались редкие отвалы сети: и через роутер и напрямую - "без доступа к интернету", это-то и явилось причиной подключения "напрямую", но не помогло. Буквально минуту назад опять отвалилась сеть. Помогает выключить/включить адаптер.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Совет в порядке бреда

    Сделайте лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Готово.
    Вложения Вложения
    • Тип файла: log gmer.log (145.5 Кб, 8 просмотров)

  10. #9
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    114
    Выполните следующее - скачайте Rootkit Unhooker (http://www.kernelmode.info/ARKs/RkU3.8.389.593.rar) и запустите.

    Далее перейдите на вкладку Processes и выберите процесс chrome.exe и выберите опцию Dump All Proccess Memory. Сохраненный файл запакуйте в архив и выложите на файлообменник.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Небольшая поправка: выполните действия, рекомендованные Вам Юрием Паршиным, но при этом воспользуйтесь вот этой утилитой. Имя файла пусть Вас не смущает - так надо.

    Добавлено через 8 минут

    И ещё один вопрос: проблемы у Вас наблюдаются только с Хромом? Если запустить встроенный Internet Expolorer - что происходит?
    Последний раз редактировалось gjf; 23.03.2012 в 16:35. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Вся эта ерунда появляется довольно рандомно: после первой переустановки я открыл эксплорер чтобы скачать хром и сразу буквально вылезло предложение установить флэш - установил и полезли баннеры, до скачивания хрома дело так и не дошло. После второй установки часа 4 все было хорошо, я уже скачал хром драйвера все, на радостях пошел к другу в гости - через 20 минут звонок жены - опять началось. Сейчас открыл эксплорер, покликал в ссылки 5 минут - ничего.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Погоняйте с эксплорером. Интересно отследить поведение. А мы пока поглядим Ваш дамп.

  14. Это понравилось:


  15. #13
    Kaspersky Lab Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    14.11.2009
    Адрес
    Щелково
    Сообщений
    257
    Вес репутации
    114
    Запустите еще раз gmer, в логе должны быть строчки вида:

    "775055CE 4 Bytes [28, 00, 0D, 00]
    .text C:\Users\mlg\AppData\Local\Google\Chrome\Applicati on\chrome.exe[1728] ntdll.dll!NtCreateFile + B"

    Найдите в диспетчере задач процесс с указанным идентификатором и сделайте дамп прямо из него (опция "Создать файл дампа памяти")

    Добавлено через 1 час 56 минут

    Это оказались легальные перехваты, сделанные самим хромом.
    Последний раз редактировалось Юрий Паршин; 23.03.2012 в 19:25. Причина: Добавлено

  16. Это понравилось:


  17. #14
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    С 16.30 зараза никак себя не проявила - ни в хроме ни в эксплорере. Все что я сделал: отключил все расширения для хрома (скриптно блокировал появление баннеров) и снова включил. Но сеть падала 2 раза.

  18. #15
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Итак. Весь остаток вчерашнего дня все было тихо и спокойно. Сегодня днем еще раз переставил систему, на сей раз убил и пересоздал рейд массив. Поставил все обновления, включая ие9. Тихо. Отследил причину отвала интернета - обновил стандартный драйвер сетевой карты на тот, что скачал с сайта интела. Тихо. Подключился к роутеру, расшарил диск и через 20 минут вылез баннер. Сделал 2 скриншота, сделал дамп 3 самых объемных процессов хрома стандартными методами, и дамп утилитой с именем svchosh.exe. Что делать дальше? Выкладывать дампы, и если да, то какие? И это рич медиа от Adskape.

    vir1.jpg

  19. #16
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Сейчас открыл ие9. Кликнул по 1 ссылке и тутже на бэкграунде открылся сайт с бабами. Дамп сделал.
    http://imageshack.us/photo/my-images/856/vir3.jpg/

    Судя по скорости архивации, эти дампы не пустые.

    http://www.kaspersky.ru/antivirus-removal-tool

    Не дает качать по этой ссылке. Клик уходит в редирект.

    Скачал КВРТ со стороннего сайта, проверил - говорит все ок.
    Последний раз редактировалось mlg; 24.03.2012 в 21:41.

  20. #17
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Ох. Отбился похоже.По совету NeytroN начал ковырять роутер. И да, каким-то чудом его поломали. Сменили пароль в веб интерфейс и все такое. Запустили локальный прокси. Для владельцев роутера с доступом по телнет: пароли от веб интерфейса и телнета - разные. Заходим в телнет и даем: nvram get http_username, nvram get http_passwd. В моем случае логин был admin, пароль qweasdOP. Это соответственно логин пароль к веб интерфейсу. Обращаю внимание на то, что кнопкой сброса и установкой новой прошивки через TFTP не удаляет содержимое nvram. Получив пароль в веб интерфей необходимо сбросить роутер к заводским параметрам или используя TFTP залить прошивку clear_nvram, скачать можно на сайте dd-wrt. Если есть онлайн кто-нибудь, кто готов ковырять дампы роутера, пишите. минут через 20 буду его убивать окончательно.

    Неясен способ взлома. Физичеси доступен был только файфай. Но там был пароль 12 знаков и WPA2. Как?

  21. #18
    Junior Member Репутация
    Регистрация
    29.11.2009
    Сообщений
    15
    Вес репутации
    53
    Логи роутера.
    Вложения Вложения
    • Тип файла: log diag.log (13.5 Кб, 2 просмотров)
    • Тип файла: log sys.log (10.1 Кб, 1 просмотров)

  • Уважаемый(ая) mlg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 30.03.2012, 16:53
    2. Ответов: 11
      Последнее сообщение: 25.03.2012, 11:56
    3. Ответов: 22
      Последнее сообщение: 04.03.2012, 21:36
    4. Ответов: 3
      Последнее сообщение: 09.04.2010, 00:28
    5. Ответов: 1
      Последнее сообщение: 02.04.2010, 22:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01108 seconds with 17 queries