Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Ad "из китая" (заявка № 16613)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60

    Question Ad "из китая"

    Симтомы: на всех сайтах появляется AD с иероглифами. Скорее всего этот вирус делает инъект в http трафик и в каждую загружаемую страницу "вписывает" в начало код для загрузки с [BLOCKED] жаваскрипта. Также был обнаружен порт который "слушает" 195.108.95.30 и возможно использует его для загрузки "остальных" частей.
    С помошью AVZ была найдена "служба" runtime2.sys

    Файл из карантина который создал 3-й скрипт был загружен на сервер: Файл сохранён как080118_083446_virus_4790b90623832.zipРазмер файла1639MD54f860e2faf828af7562540ddf81822b7
    через http://virusinfo.info/upload_virus.php

    Пока что выполняю пункты правил - вложения чуть позже
    В качестве временного решения и для того чтобы не заразится повторно сайты внес в блеклист на прокси и в блокировщик содержимого MYIE
    Последний раз редактировалось MAG; 18.01.2008 в 18:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Чужие скрипты выполнять вредно и опасно. За их последствия на Вашей машине мы ответственности нести не можем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Вложения с относительно "подлеченного" сервера
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    программы для Nokia установлены ?
    в чем сейчас проявляется проблема ?

  6. #5
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    да установлены для мобилки. Я сейчас сканирую рабочие станции чтобы найти "живой" вирус. Он точно есть ...
    не совсем понятно как избежать повторного заражения. Пока успел просканировать 18/70 рабочих станций. Попутно АVZ нашел и удалил несколько других троянов. Была ситуация когда уже пролеченный комп "цепляет" из интернета этот вирус снова

    с помошью system repair ingineer был найден странный active-x
    {33564D57-0000-0010-8000-00AA00389B71}
    Последний раз редактировалось MAG; 18.01.2008 в 20:06.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от MAG Посмотреть сообщение
    да установлены для мобилки.
    больше тогда не вижу ничего подозрительного в логах ..

  8. #7
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Опять фиксируются попытки доступа на этот сайт с 2-х машин. И мой сервер опять его поймал
    Теперь вирус идет с другого поддомена этого сайта и теперь адшка всплывает слева. Забавно когда слева адшка и справа
    Логи с 1-й машины
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINNT\system32\ssgb1mon.dll','');
     QuarantineFile('C:\WINNT\alogin.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    Загрузите карантин согласно приложению №3 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Файл сохранён как 080123_021534_virus_4796f7a6e40e9.zip
    Размер файла 34653
    MD5 aa1595ce9fa3bd1001766244cec17c95

    скрипт выполнил
    Пофиксил
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Внешнее проявление вируса
    Изображения Изображения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Скачайте Process Explorer. Нажмите на значок прицела, потом на окно "AD". Что покажет программа? Действительно ли окно принадлежит браузеру? Логи делали с запущенным браузером?

  13. #12
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Да с запущенным. При постановке на закачку зип архива эта зараза подставила свой setup.exe
    По видимому вирус инъектится в http трафик и делает что хочет
    Скачал процесс експлорер.. Дождался пока высветится ад нажимаю на прицел, на ад и процесс експлорер показывает что это окно интернет експлорера

    Может стоит сделать скан с интернет експлорером у которого высвечена АД?
    Последний раз редактировалось MAG; 23.01.2008 в 12:55.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от MAG Посмотреть сообщение
    Может стоит сделать скан с интернет експлорером у которого высвечена АД?
    Да, пожалуй. А как идет трафик с зараженного компьютера? По локалке? Может инжект совершает не на этом компьютере? Когда возникла проблема?

  15. #14
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    трафик по локалке через прокси. Прокси ИИС вроде но у меня доступа туда нет. Если б вирус был там тут бы вся организация орала, т.к была зараженной. А так у кого-то есть у кого-то нет этого вируса. Единственное решение которое я вижу это переустановить свой сервер, и на нем для той части локалки которую я обслуживаю запретить ТОТ сайт.
    Вопрос а есть шанс этот сайт прикрыть? SmartWhois показывает что эта этот сервер находится в китае провинция Sichuan.

    CHINANET Sichuan province network
    China Telecom
    A12,Xin-Jie-Kou-Wai Street
    Beijing 100088


    CHINANET SICHUAN
    No.72,Wen Miao Qian Str Chengdu SiChuan PR China
    +86-28-86190657
    +86-25-86190641
    [email protected]

    просто у меня нет опыта составления таких "кляуз"

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Шанс есть (на нахождение заразы). Есть примерный план. Только четко отвечайте на мои вопросы. Когда или после чего появилась проблема?

  17. #16
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Все началось вероятно еще в декабре:
    (нод32 всегда с последними базами)
    28.12.2007 15:14:39 IMON модифицированный Win32/TrojanDropper.Agent.NHB троян -пользователь нажал блокировать
    15.01.2008 11:07:28 ТОТ сайт IMON вероятно модифицированный Win32/Genetik троян - блокировано.
    16.01.2008 11:12:22 ТОТ сайт путь тотже модифицированный Win32/Xorer вирус
    17 утром появилась адшка. Нашел в инете что это вирус попытался удалить с помошью System Repair Engineer 2.5 - нашел службу RUNTIME2.SYS
    при попытке удалить высветило:
    17.01.2008 15:12:36 AMON файл C:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS Win32/Rootkit.Agent.EY троян Ошибка при очистка - действие недоступно для этого типа объекта VT-SERVER\vt-admin Событие при попытке доступа к файлу приложением C:\3\SREngPS.EXE.
    Поискал в инете ссылки про RUNTIME2.SYS нашел что вирус нашел что есть АВз и какие-то скрипты (незнал что они уникальные). Выполнил. Служба сейчас не видна
    Ад есть не на всех сайтах (появляется редко).

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    поищите при помощи авз tga.sys ... если найдется пришлите по правилам ..

  19. #18
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    поиск на дисках tga.sys с помошью AVZ - результатов 0
    В реестре найдены ключи. Файл с ключами :
    Файл сохранён как 080124_020520_virus_479846c099808.zip
    Размер файла 269
    MD5 68523d8bd90311af000a3ef927631e67

    Добавлено через 7 минут

    Сделал поиск по RUNTIME2.SYS в реестре - куча хвостов осталось - высылать результаты поиска?
    Последний раз редактировалось MAG; 24.01.2008 в 11:13. Причина: Добавлено

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteSvc('RUNTIME2.SYS');
     BC_Activate;
     RebootWindows(true);
    end.
    Хвосты зачистятся.

  21. #20
    Junior Member Репутация
    Регистрация
    18.01.2008
    Сообщений
    11
    Вес репутации
    60
    Незачистились. Опять нaшлись поискам в реестре через AVZ. Удалил сам эти ключи через AVZ.

  • Уважаемый(ая) MAG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    3. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00119 seconds with 20 queries