Показано с 1 по 20 из 20.

Прошу помощи (заявка № 20241)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35

    Question Прошу помощи

    Во время поиска информации сотрудница нашла на порядочном сайте непорядочный троян. Из признаков пока обнаружены тормоза системы.
    Trend Office Scan обнаружил почти сразу 5 файлов, но удалить смог только 3. CureIt обнаружил зараженные файлы в папке временных файлов Интернета, и вроде даже удалял, но позже AVZ их вновь обнаружил. В процессах CureIt вируса не увидел, хотя тон там присутствует sv32_0.exe
    Помогите решить проблему.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Отключить антивирус.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
     DeleteFile('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
     BC_DeleteFile('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.
    Новые логи надо будет сделать.
    ССылочку на сайт, где поймали добавь в сообщение через
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Файл сохранён как 080321_090132_virus_47e3bfbce0860.zip
    Размер файла 994435
    MD5 6e534c0dd3a5a0b984eaa5d1838423d7

    Что касается сайта ... как по закону подлости все свершилось под конец рабочего дня конца недели. Поэтому спросить и узнать с какого точно сайта я не могу. По крайней мере до понедельника. Но могу отослать всю истори ю за сегодняшний день (хотя и не вижу смысла). Единственное, что это сайт по вентиляции и одинг из зараженных файлов был ventil[].html ... Вот такие вот дела ... логи делаются.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    В дополнение, выполните, пожалуйста, еще вот такой скрипт:
    Код:
    begin
     Clearquarantine;
     QuarantineFile('c:\windows\temp\bcb406.exe','');
     BC_importquarantinelist;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите еще раз по ссылке http://virusinfo.info/upload_virus.php?tid=20241 , как написано в прил. 3 правил.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    @Numb Этот файл скорее всего охранник ТрендМикро. При след. перезагрузке он имя сменит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    @Numb Этот файл скорее всего охранник ТрендМикро. При след. перезагрузке он имя сменит.
    Именно так и есть.
    Что касается скрипта, то я его выполнил.
    Однако при повторном создании логов в AVZ зараза была вновь обнаружена, но в файле поменяна последняя цифра sv32_4.exe. Да думаю вы и сами увидите в логах и карантине.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  8. #7
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Файл сохранён как 080321_095650_virus_47e3ccb27d8fe.zip
    Размер файла 994435
    MD5 6e534c0dd3a5a0b984eaa5d1838423d7

    Это в догонку ... карантин, собранный AVZ при последней подготовке логов

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    18/32 - итог на вирустотал.
    AntiVir 7.6.0.75 2008.03.20 TR/Dldr.Logsnif.1
    Avast 4.7.1098.0 2008.03.21 Win32:BZub-KY

    Касперский и Др.Веб его не знают, или не считают за малваре.
    вот такой результат. Думаю, его кто-то восстанавливает.

    Временные файлы Инета почисть.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    18/32 - итог на вирустотал.
    AntiVir 7.6.0.75 2008.03.20 TR/Dldr.Logsnif.1
    Avast 4.7.1098.0 2008.03.21 Win32:BZub-KY

    Касперский и Др.Веб его не знают, или не считают за малваре.
    вот такой результат. Думаю, его кто-то восстанавливает.

    Временные файлы Инета почисть.
    К содалению машина обрабатывалась мной дистанционно и сейчас она уже выключена ... В понедельник с утра я начну с чистки временных файлов инета. Меня еще несколько смущают файлы в корне C типа 1A.tmp, 23.tmp и еще один (не помню номер, хотя подразумеваю, что он может быть любым). Просто с этими "молодцами" я уже встречался ранее при лечении от других троянов. Их размер состовляет по 1 кб. Думаю, что пропущу их опять же в понедельник через Virustotal...
    А пока будем ждать понедельника. Посмотрим как будет себя вести машинка ...

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    В понедельник с утра я начну с чистки временных файлов инета.
    Очистил систему стандартными средствами. Но отметил, что чистка проводится не полностью. Например, файл sv32_4.exe пришлось удалять с помощью AVZ.
    Меня еще несколько смущают файлы в корне C типа 1A.tmp, 23.tmp и еще один (не помню номер, хотя подразумеваю, что он может быть любым). Просто с этими "молодцами" я уже встречался ранее при лечении от других троянов. Их размер состовляет по 1 кб. Думаю, что пропущу их опять же в понедельник через Virustotal...
    Проверил эти файлы ... оказались чистыми. Предполагаю, что это отработанный материал от вирусов.
    А пока будем ждать понедельника. Посмотрим как будет себя вести машинка ...
    Уже вторник, но вроде все пока чисто.
    В любом случае помещаю логи (вчерашние)
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    C:\Documents and Settings\Oborotova_VE\Local Settings\Temp\sv32_4.exe - все равно есть в логах.
    Буду созывать консилиум, жди вопросов от различных людей в этой теме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\Documents and Settings\Oborotova_VE\Local Settings\Temp\sv32_4.exe - все равно есть в логах.
    Буду созывать консилиум, жди вопросов от различных людей в этой теме.
    Думаю, что его там нет ...
    Сделаю дополнительные логи ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    c:\program files\ichat\ichat.exe - вот этот файлик загрузи через карантин для проверки. ТНК Rene-gad
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    c:\program files\ichat\ichat.exe - вот этот файлик загрузи через карантин для проверки. ТНК Rene-gad
    Писал в личку, но повторю для общественности.
    В результате повторного наступления на грабли дэвушка заразила машину повторно сегодня утром ... Поэтому все процедуры проверки выполнял повторно. Кроме логов прикладываю в карантин запрошенный файл.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Что бросается в глаза: наловили ворователей паролей. Надо будет их менять.

    В логах плохого ничего не увидел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Не получается произвести загрузку файла карантина ... выдает ошибку страницы.
    Кстати, в корне диска С появились все-теже *.tmp ... один проверил через virustottal.com. Результат 14/32

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Расшаренные папки есть? Может из сети что-то ползет.
    Диск "С" не расшарен ли полностью на запись?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    На диске С шара административная. В локалке не одна машина, но остальные не подают признаков заражения. Да и совпадение уж больно подозрительное: ловится зараза при попытке поискать информацию на одном из сайтов по вентиляции (ярлыки в архиве во вложении). И зараза то все такого типа, что на вирустотал определяется менее половиной антивирей.

    Спасибо, перебросил для рассмотрения
    Последний раз редактировалось pig; 25.03.2008 в 19:21. Причина: забрал архив

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    То, что пока видно:
    В файле >ввв.vent.aironline.ru/JavaScript.0 обнаружен вирус Trojan.Click.4223
    - Скорее всего, данный сайт и есть источник заражения. А в логах ничего подозрительного я тоже не вижу. Совсем на всякий случай, найдите и загрузите по правилам файлы
    Код:
    C:\Program Files\BIRTHDAY\birthmil.exe
    C:\Program Files\KillWatcher\kwatch.exe

  21. #20
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    35
    Цитата Сообщение от Numb Посмотреть сообщение
    То, что пока видно: - Скорее всего, данный сайт и есть источник заражения. А в логах ничего подозрительного я тоже не вижу. Совсем на всякий случай, найдите и загрузите по правилам файлы
    Код:
    C:\Program Files\BIRTHDAY\birthmil.exe
    C:\Program Files\KillWatcher\kwatch.exe
    Спасибо большое за помощь в обнаружении источника!!! Можно было бы конечно сообщить разработчикам о том, что у них зараза, но даже выходить на этот сайт не хочется, учитывая слабость нашей корпоративной защиты Так что сайт будет просто нами проигнорирован.
    Что касается запрошенных файлов, то файл C:\Program Files\BIRTHDAY\birthmil.exe никак не получается поместить в карантин средствами AVZ. Я конечно попробую это сделать руками, но проблема от этого не пропадет ... не понимаю почему (добавлял как по списку, так и через поиск *.exe с последующим добавлением)
    Второй файл отправлен
    Файл сохранён как
    080326_003423_virus_47e9e05f3cec0.zipРазмер файла468860MD59d14a0acae203ca6b497c06fdf94191f

    Второй файл готов
    Файл сохранён как 080326_004659_virus_47e9e3538763f.zip
    Размер файла 185373
    MD5 6a3bfbdbae8852bc2d1ac9710da71433
    Последний раз редактировалось CandyMAN; 26.03.2008 в 08:48. Причина: Добавление

  • Уважаемый(ая) CandyMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Прошу помощи..
      От Mellos в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.12.2010, 00:34
    2. Прошу помощи.
      От Ivan_Taranov в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.04.2010, 22:48
    3. прошу помощи
      От trg в разделе Помогите!
      Ответов: 50
      Последнее сообщение: 22.02.2009, 04:34
    4. прошу помощи 2
      От RIP в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.03.2008, 17:26
    5. Прошу помощи
      От rosalin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.03.2008, 18:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00303 seconds with 20 queries