Вирус пытался украсть деньги через iBank [Trojan.Win32.Genome.agfrd
]
Здравствуйте!
Произошло заражение компьютере бухгалтера, способ неизвестен, но скорее всего через броузинг.
Через систему IBank мошенники сформировали платежное поручение и отправили его в банк.
Банк сообщил нам о необычном платеже и о том, что они видят некую вирусную активность на нашей стороне. Подробности они сообщить не смогли.
На компьютере вирус себя никак не проявляет.
TrndMicro OfficeScan, установленный на компе, не обнаруживает ничего.
Dr. Web CureIt и его USB вариант, Kaspersky Rescue ничего не находят.
В логах proxy заметили, что троян постоянно соединяется по http/80 на хост sja94hl35b.com (64.79.71.43, ptr> 2b.47.4f.static.xlhost.com).
Сегодня уже этот адрес добавлен в категорию Malware/Botnet.
После сканирования AVZ стали видны 4 выполняемых файла из TEMP, которые загружаются как процессы.
Пожалуйста подскажите как все вычитсить.
Спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Gostan, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Подозрительные файлы в temp директории пока на месте.
это легальные файлы похоже от Sysinternals Rootkitrevealer
- - - Добавлено - - -
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
и почистите темпы браузера, вирус скорей всего осел там.
В autoruns обнаружил C:\Windows\System32\theme.dll
Он якобы подписан Microsoft, но подвись не верифицируется.
Дата создания - 11/09/2012 совпадает со временем заражения, которое сообщили в банке.
Снял AVZ-ом в карантин и загрузил Вам по ссылке.
Воздержитесь от его использования до завтра.
В нем найдена серьезная уязвимость. Завтра выйдет накопительное обновление, Вам нужно будет обновить систему и после этого можете снова им пользоваться. http://virusinfo.info/showthread.php?t=124764
И ещё - после удаления theme.dll из system32, вурусная активность прекратилась, компьютер перестал хаотично пытаться соединиться с разными подозрительными IP по http / https.
Странно, что ни один антивирус эту штуку так и не ловит -- вероятно это какая то адресная атака ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: