Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Пришло письмо с вложением. Письмо было окрыто, но сработал антивирус. Можно ли узнать каким образом действует вирус в нем? [Trojan.JS.Agent.civ ] (заявка № 168663)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8

    Пришло письмо с вложением. Письмо было окрыто, но сработал антивирус. Можно ли узнать каким образом действует вирус в нем? [Trojan.JS.Agent.civ ]

    Приветствую.
    Недавно получили письмо с содержимым в архиве zip, письмо было в тему как говорится и его открыли. Антивирус сработал и удалил вредоностный код. Но все равно присутствует беспокойство, можно ли выслать Вам на анализ содержимое письма? Хотелось бы понять что там сидит и как действует?

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) Эдуард Сваринский, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8

    Вот логи

    Вот собрал логи.
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files (x86)\Ufasoft\Sniffer\wep_decrypt.exe','');
     QuarantineFile('C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe','');
     DeleteFile('C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe','32');
     DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job','64');
     DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job','64');
     DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','64');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    Карантин загрузил, лог прилагаю. Подозрения, что данный вирь отправил данные об мини АТС куда то, так как был зафиксирован автодозвон на номера зоны европа2. (Монако)
    Станция находится на отдельном IP вне сетки офисной и там больше ни чего не висит. Цепляюсь к ней через интерфейс програмный отдельно переключившись физически в другую сетку. Может быть вирь собрал инфу об IP станции и подобрали потом пароли (как вариант) Хотя помимо пароля на атс есть еще и пароль на поток отдельный.
    Вложения Вложения
    • Тип файла: txt scan.txt (178.1 Кб, 3 просмотров)

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    Проблеммы нет, просто нужно знать что делает данный вирус и мог ли он повлиять на доступ к потоку атс (взлом)
    автодозвон был на номера Монако, было пресечено и ущерб минимальный. Станцию проверили все с ней норма по настройкам, сменил пароль на станцию, на поток, айпишник.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Скриптом и с помощью МВАМ было зачищено Adware. Более ничего интересного в логах не было

    Удалите в МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    тоесть то, что пробралось на машину не могло являться причиной взлома атс?
    просто 2й провайдер, поток которого подключен в атску не зафиксировал левого трафика
    вот для себя хочу понять толи на нас сваливают свои косяки, то ли был доступ к нашему оборудованию но почему то не затронуло второй поток Е1. Думаю что если доступ был получен то использовали бы для автодозвона оба потока.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Вложение из письма сохранилось?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    Да сохранилось

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    вложение в архиве находится не хочу его распаковывать или качать, или как то еще можно?
    Последний раз редактировалось Эдуард Сваринский; 17.10.2014 в 15:16.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Присылайте не распаковывая
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    отправил

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Повезло Вам, что антивирус сработал. Иначе бы информация зашифровалась, а всем контактам от Вас по email стал бы распространяться этот же вирус (получили Вы его ведь от известного Вам адресата )
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    нет от неизвестного, у нас в бд нет таких в сотрудничестве
    бухи просто не просканировали вложение, а видя название акты сверок стали открывать
    я вижу что вначале идет шифровальщик, там дальше еще есть вирь определяющийся как fakesys-d (авастом)
    но cureit его видит по другому плюс я так понял там в свхост еще что то пытается ломиться извне
    антивирус сработал ,плюс я прошелся еще утилитками везде для очистки
    вроде больше ни куда не попало

    Но вот автодозвон был в Монако с АТС, хотя второй оператор у себя не фиксировал активности по мг/мн
    они оба с E1 потоком
    вот возник у меня вопрос, к атс доступ был получен или все таки у оператора косяк
    консультировался с людьми что занимаются на проф уровне атсками, проверяли все настройки и вывод один
    если взлом и возможен, то сделать это очень сложно

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от Эдуард Сваринский Посмотреть сообщение
    я так понял там в свхост еще что то пытается ломиться извне
    вирус создает smtp-сервер для рассылки своего тела и отправки найденных паролей злоумышленникам

    Цитата Сообщение от Эдуард Сваринский Посмотреть сообщение
    нет от неизвестного
    Значит email Вашей организации засветился в базах у спамеров каким-то образом.

    Вебовцами детектируется как JS.DownLoader.332
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member (OID) Репутация
    Регистрация
    15.10.2014
    Сообщений
    10
    Вес репутации
    8
    тоесть данный вирь мог стащить данные от атс и потом к ней могли подобраться извне и подключиться? тогда почему не спамили все подключенные к ней потоки? после срабатывания антивиря сетку на машине я отключил и сразу же все вычистил. буквально пара минут прошла

    - - - - -Добавлено - - - - -

    Благодарю Вас за ответы.

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Никакого отношения к работе АТС вирус не имеет. Воруются пароли с компьютера

    На сим разрешите закончить
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Эдуард Сваринский, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Пришло письмо почту
      От FarinHeiT™ в разделе Общая сетевая безопасность
      Ответов: 2
      Последнее сообщение: 25.06.2014, 23:34
    2. Ответов: 2
      Последнее сообщение: 05.11.2012, 23:05
    3. Ответов: 7
      Последнее сообщение: 12.07.2012, 18:53
    4. Пришло письмо с вирусом в zip
      От ViLev в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 06.02.2010, 11:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00023 seconds with 21 queries