Показано с 1 по 13 из 13.

Вирус пытался украсть деньги через iBank [Trojan.Win32.Genome.agfrd ] (заявка № 124781)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2012
    Сообщений
    5
    Вес репутации
    43

    Вирус пытался украсть деньги через iBank [Trojan.Win32.Genome.agfrd ]

    Здравствуйте!

    Произошло заражение компьютере бухгалтера, способ неизвестен, но скорее всего через броузинг.
    Через систему IBank мошенники сформировали платежное поручение и отправили его в банк.
    Банк сообщил нам о необычном платеже и о том, что они видят некую вирусную активность на нашей стороне. Подробности они сообщить не смогли.

    На компьютере вирус себя никак не проявляет.

    TrndMicro OfficeScan, установленный на компе, не обнаруживает ничего.
    Dr. Web CureIt и его USB вариант, Kaspersky Rescue ничего не находят.

    В логах proxy заметили, что троян постоянно соединяется по http/80 на хост sja94hl35b.com (64.79.71.43, ptr> 2b.47.4f.static.xlhost.com).

    2012-09-17 09:27:41 581 10.32.70.20 AA - - OBSERVED "none" - 200 TCP_NC_MISS POST text/html http sja94hl35b.com 80 / - - - 172.1.1.32 476 522 - "none" "none"

    Сегодня уже этот адрес добавлен в категорию Malware/Botnet.

    После сканирования AVZ стали видны 4 выполняемых файла из TEMP, которые загружаются как процессы.

    Пожалуйста подскажите как все вычитсить.

    Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Gostan, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в АВЗ:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Users\MT\AppData\Local\Temp\X.exe','');
     QuarantineFile('C:\Users\MT\AppData\Local\Temp\QYAVYTNF.exe','');
     QuarantineFile('C:\Users\MT\AppData\Local\Temp\IT.exe','');
     QuarantineFile('C:\Users\MT\AppData\Local\Temp\DVQJCGKXNUJIJDUEN.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Повторите логи.

    - Сделайте лог полного сканирования MBAM.


  5. #4
    Junior Member Репутация
    Регистрация
    18.09.2012
    Сообщений
    5
    Вес репутации
    43
    AVZ скрипты выполнил, архив загрузил.

    Подозрительные файлы в temp директории пока на месте.

    MBAM ничего не находит.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Gostan Посмотреть сообщение
    Подозрительные файлы в temp директории пока на месте.
    Файлы оказались чистыми...


  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Gostan Посмотреть сообщение
    Подозрительные файлы в temp директории пока на месте.
    это легальные файлы похоже от Sysinternals Rootkitrevealer

    - - - Добавлено - - -

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    и почистите темпы браузера, вирус скорей всего осел там.

  8. #7
    Junior Member Репутация
    Регистрация
    18.09.2012
    Сообщений
    5
    Вес репутации
    43
    К сожалению, поиск уязвимостей ничего не дал.

    В autoruns обнаружил C:\Windows\System32\theme.dll
    Он якобы подписан Microsoft, но подвись не верифицируется.
    Дата создания - 11/09/2012 совпадает со временем заражения, которое сообщили в банке.
    Снял AVZ-ом в карантин и загрузил Вам по ссылке.

    Скорее всего это и есть вирус.

    Спасибо!
    Изображения Изображения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Каким браузером пользуетесь?


  10. #9
    Junior Member Репутация
    Регистрация
    18.09.2012
    Сообщений
    5
    Вес репутации
    43
    IE 9 / Windows 7 32-bit

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Воздержитесь от его использования до завтра.
    В нем найдена серьезная уязвимость. Завтра выйдет накопительное обновление, Вам нужно будет обновить систему и после этого можете снова им пользоваться.
    http://virusinfo.info/showthread.php?t=124764


  12. #11
    Junior Member Репутация
    Регистрация
    18.09.2012
    Сообщений
    5
    Вес репутации
    43
    Спасибо за помощь.

    И ещё - после удаления theme.dll из system32, вурусная активность прекратилась, компьютер перестал хаотично пытаться соединиться с разными подозрительными IP по http / https.

    Странно, что ни один антивирус эту штуку так и не ловит -- вероятно это какая то адресная атака ...

    Комп переустанавливаем.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Gostan Посмотреть сообщение
    Странно, что ни один антивирус эту штуку так и не ловит -- вероятно это какая то адресная атака ...
    скорей всего свежая модификация троян маячок,отправил в вирлабы. Через пару дней максимум начнут видеть .

    Советы и рекомендации после лечения компьютера

    - - - Добавлено - - -

    dr. Web уже ответил Угроза: Trojan.Inject1.9104
    Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\theme.dll - Trojan.Win32.Genome.agfrd ( DrWEB: Trojan.Inject1.9104 )


  • Уважаемый(ая) Gostan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Пытался пролезть вирус pdfka
      От Sergey795 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.08.2011, 23:43
    2. Вредоносное ПО вымогающее деньги через SMS.
      От WinbowsXP в разделе Вредоносные программы
      Ответов: 44
      Последнее сообщение: 02.02.2010, 22:50
    3. Ответов: 6
      Последнее сообщение: 31.01.2010, 21:42
    4. Ответов: 7
      Последнее сообщение: 07.06.2007, 11:56
    5. Ответов: 1
      Последнее сообщение: 01.06.2007, 05:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01572 seconds with 17 queries