Показано с 1 по 11 из 11.

Крепкое подозрение на "ловлю" эксплойта с подсадкой бота (заявка № 125351)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    48

    Крепкое подозрение на "ловлю" эксплойта с подсадкой бота

    Здравствуйте!

    Появилось подозрение, что ПК заражен какой-то дрянью.

    ОС: Windows XP Pro SP3 с оболочкой Aston 2
    Антивирус:
    Nod32 v.4.2.71.3 с базой v.7544 (20121003)
    Брандмауэр: Comodo Firewall v.5.10
    Браузер:
    Opera 11.62 (Flash, JS, Java включены)
    Диспетчер файлов: Total Commander 7.56 (explorer не используется)


    Анамнез

    Каюсь: не заметил, что в Опере по дефолту включена Java. Первые странности появились после недавней возни с установкой драйверов сканера (скачаны с оф.сайта). Система перестала реагировать на кнопку перезагрузки в меню "Пуск".

    В процессе танцев с бубном с очисткой системы, проверкой реестра и т.д. Нод выловил заразу:

    Код:
     C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache3733888257510492252.tmp - Win32/TrojanDownloader.Carberp.AJ - троянская программа - очищен удалением - изолирован - Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\CCleaner\CCleaner.exe.
    Сразу же запустил сканирование ПК, обнаружилось еще несколько пакостей:

    Код:
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = kikilso.class - модифицированный Java/Exploit.CVE-2012-1723.AM троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = lipricon.class - модифицированный Java/Exploit.CVE-2012-1723.BZ троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = vinnipux.class - модифицированный Java/Exploit.CVE-2012-1723.AM троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = xuyara.class - модифицированный Java/Exploit.CVE-2012-1723.AM троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache4352108752283088948.tmp = ZIP = javax/SecretKey.class - модифицированный Java/Exploit.CVE-2012-0507.DN троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache6024523823279412440.tmp = ZIP = hw.class - модифицированный Java/Exploit.Agent.NDL троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache6026419069273413614.tmp = ZIP = javax/Mac.class - модифицированный Java/Agent.EP троянская программа
    
    C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache6026419069273413614.tmp = ZIP = javax/SecretKey.class - модифицированный Java/Agent.EP троянская программа
    
    После этого система стала перезагружаться по требованию, но произошли подозрительные изменения при ее запуске:

    После входа в сеанс пользователя Администратор в процессе загрузки фоновых приложений появилась заметная пауза (10-15 сек.), после чего загрузка продолжалась. Это было заметно по появлению значков программ в панели индикации, при этом GUI системы не зависал. Nod запускал сканирование при загрузке только после этой паузы. Если в момент "подвисания" попытаться открыть окно антивируса - оно оказывалось пустым. Если попробовать запустить проверку файлов через контекстное меню проводника, появлялось сообщение об ошибке: "Ошибка связи с ядром". После паузы антивирус начинал работать нормально.

    Один из моих динамических внешних IP обнаружился в черных списках spamhaus.org.

    Перед сканированием AVZ решил почистить временные директории (для ускорения сканирования дисков). При удалении одной из папок система вылетела в BSOD, жалуясь на модуль ujm4mziy.sys.

    *** STOP: 0x000000CE (0xF79AE364, 0x00000000,0xF79AE364, 0x00000000)

    После перезагрузки (что интересно, загрузка после этого вылета стала проходить нормально, без пауз) вынес эту папку при помощи программы Unlocker (никаких блокирующих дескрипторов обнаружено не было).

    При сканировании AVZ обнаружились файлы, которые мне кажутся зело подозрительными.

    Проверку системы произвел согласно правил, файлы отчетов прилагаю.

    Хотелось бы окончательно повычистить всю нечисть, ежели чего осталось. Помогите, пожалуйста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Rampager, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Сделайте лог полного сканирования МВАМ.
    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

    по окончанию лечения не забудьте сменить все пароли и в AVZ выполнить стандартный скрипт №6.

    Цитата Сообщение от Rampager Посмотреть сообщение
    Nod32 v.4.2.71.3
    обновить бы надо

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    48
    Цитата Сообщение от regist Посмотреть сообщение
    Сделал. Лог во вложении. Извините, при первом сканировании проморгал диск F: и не добавил галочку. После этого проверил его отдельно, поэтому два отчета.


    Цитата Сообщение от regist Посмотреть сообщение
    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
    Файл: 121004_123706_virusinfo_files_LIBER_506d82f28a215. zip (9739126 b)
    MD5: b8355024de290c58cc5b3740a1a7ebce

    При генерации предыдущего отчета, я забыл выключить Миранду. Если нужна и она - скажите, я пересканирую.

    Некоторые файлы не удалось поместить в карантин, поэтому во вложении также прилагаю протокол сканирования (вдруг понадобится).


    Цитата Сообщение от regist Посмотреть сообщение
    по окончанию лечения не забудьте сменить все пароли
    Пароли обязательно сменю, это первое (и самое умное), что пришло мне в голову...


    Цитата Сообщение от regist Посмотреть сообщение
    и в AVZ выполнить стандартный скрипт №6.
    А это строго обязательно? Дело в том, что я сам иногда использую AVZ и его инструментарий (диспетчер процессов и т.д.) в развлекательных, так сказать, целях.


    Цитата Сообщение от regist Посмотреть сообщение
    обновить бы надо
    Сделаем!

    Большое спасибо за быстрый ответ! Жду Ваших рекомендаций.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Rampager Посмотреть сообщение
    А это строго обязательно? Дело в том, что я сам иногда использую AVZ и его инструментарий (диспетчер процессов и т.д.) в развлекательных, так сказать, целях.
    драйвер на который у вас ругалось во время BSOD принадлежит AVZ ... так что скорей для профилактике и избежания возможных конфликтов. Логи сейчас посмотрю.

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    48
    Цитата Сообщение от regist Посмотреть сообщение
    драйвер на который у вас ругалось во время BSOD принадлежит AVZ ... так что скорей для профилактике и избежания возможных конфликтов. Логи сейчас посмотрю.
    Дело в том, что до совсем недавнего времени я пользовался AVZ версии 4.35 (и по-моему, перед использованием новой версии я забыл деинсталлировать его драйвер расширенного мониторинга процессов). Мне следует выполнить скрипт в обеих версиях последовательно или достаточно будет запустить его только в новейшей?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Удалите в MBAM только

    Код:
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
    -------------------------------------------------
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    [*]Запустите файл TDSSKiller.exe;[*]Нажмите кнопку "Начать проверку";[*]В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
    [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    - - - Добавлено - - -

    Цитата Сообщение от Rampager Посмотреть сообщение
    Мне следует выполнить скрипт в обеих версиях последовательно или достаточно будет запустить его только в новейшей?
    только в последней, но если у вас подобных конфликтов больше не возникает можете не делать .

  9. #8
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    48
    Цитата Сообщение от regist Посмотреть сообщение
    Удалите в MBAM

    Код:
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
    Сделано


    Цитата Сообщение от regist Посмотреть сообщение
    Заархивруйте эту папку с паролем virus. И virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    Файл сохранён как: 121004_134412_virus_506d92ac7b4be.zip (179081 B)
    MD5: 735a1f6bcdf33ff5453d0047877fde16

    Все-таки что-то новенькое и неизведанное? Ох уж мне эти ботоводы...


    Цитата Сообщение от regist Посмотреть сообщение
    Запустите файл TDSSKiller.exe
    Сделал, тулза ни о каких новых безобразиях в процессе не сообщила.


    Цитата Сообщение от regist Посмотреть сообщение
    Прикрепите лог утилиты к своему следующему сообщению
    Прикрепляю к сообщению логи первой операции (через батник) и второй (проверки). Смотрите по дате/времени.



    Цитата Сообщение от regist Посмотреть сообщение
    только в последней, но если у вас подобных конфликтов больше не возникает можете не делать
    А что, и сделаем. Обожаю профилактические процiдурки!


    Цитата Сообщение от regist Посмотреть сообщение
    драйвер на который у вас ругалось во время BSOD принадлежит AVZ ... так что скорей для профилактике и избежания возможных конфликтов.
    Цитата Сообщение от Rampager Посмотреть сообщение
    При удалении одной из папок система вылетела в BSOD, жалуясь на модуль ujm4mziy.sys ... После перезагрузки (что интересно, загрузка после этого вылета стала проходить нормально, без пауз)
    AVZ настолько брутален и бесчеловечен, что даже крах его драйверов заставляет вирусы ныкаться по углам...

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    всё чисто, удалите MBAM.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    48
    Все ясно. Спасибо огромное за помощь!

  13. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Rampager, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 2
      Последнее сообщение: 13.08.2010, 12:53
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    4. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00817 seconds with 19 queries