Показано с 1 по 20 из 20.

Прошу помощи (заявка № 20241)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62

    Question Прошу помощи

    Во время поиска информации сотрудница нашла на порядочном сайте непорядочный троян. Из признаков пока обнаружены тормоза системы.
    Trend Office Scan обнаружил почти сразу 5 файлов, но удалить смог только 3. CureIt обнаружил зараженные файлы в папке временных файлов Интернета, и вроде даже удалял, но позже AVZ их вновь обнаружил. В процессах CureIt вируса не увидел, хотя тон там присутствует sv32_0.exe
    Помогите решить проблему.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Отключить антивирус.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
     DeleteFile('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
     BC_DeleteFile('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.
    Новые логи надо будет сделать.
    ССылочку на сайт, где поймали добавь в сообщение через
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Файл сохранён как 080321_090132_virus_47e3bfbce0860.zip
    Размер файла 994435
    MD5 6e534c0dd3a5a0b984eaa5d1838423d7

    Что касается сайта ... как по закону подлости все свершилось под конец рабочего дня конца недели. Поэтому спросить и узнать с какого точно сайта я не могу. По крайней мере до понедельника. Но могу отослать всю истори ю за сегодняшний день (хотя и не вижу смысла). Единственное, что это сайт по вентиляции и одинг из зараженных файлов был ventil[].html ... Вот такие вот дела ... логи делаются.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В дополнение, выполните, пожалуйста, еще вот такой скрипт:
    Код:
    begin
     Clearquarantine;
     QuarantineFile('c:\windows\temp\bcb406.exe','');
     BC_importquarantinelist;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите еще раз по ссылке http://virusinfo.info/upload_virus.php?tid=20241 , как написано в прил. 3 правил.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Numb Этот файл скорее всего охранник ТрендМикро. При след. перезагрузке он имя сменит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    @Numb Этот файл скорее всего охранник ТрендМикро. При след. перезагрузке он имя сменит.
    Именно так и есть.
    Что касается скрипта, то я его выполнил.
    Однако при повторном создании логов в AVZ зараза была вновь обнаружена, но в файле поменяна последняя цифра sv32_4.exe. Да думаю вы и сами увидите в логах и карантине.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  8. #7
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Файл сохранён как 080321_095650_virus_47e3ccb27d8fe.zip
    Размер файла 994435
    MD5 6e534c0dd3a5a0b984eaa5d1838423d7

    Это в догонку ... карантин, собранный AVZ при последней подготовке логов

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    18/32 - итог на вирустотал.
    AntiVir 7.6.0.75 2008.03.20 TR/Dldr.Logsnif.1
    Avast 4.7.1098.0 2008.03.21 Win32:BZub-KY

    Касперский и Др.Веб его не знают, или не считают за малваре.
    вот такой результат. Думаю, его кто-то восстанавливает.

    Временные файлы Инета почисть.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    18/32 - итог на вирустотал.
    AntiVir 7.6.0.75 2008.03.20 TR/Dldr.Logsnif.1
    Avast 4.7.1098.0 2008.03.21 Win32:BZub-KY

    Касперский и Др.Веб его не знают, или не считают за малваре.
    вот такой результат. Думаю, его кто-то восстанавливает.

    Временные файлы Инета почисть.
    К содалению машина обрабатывалась мной дистанционно и сейчас она уже выключена ... В понедельник с утра я начну с чистки временных файлов инета. Меня еще несколько смущают файлы в корне C типа 1A.tmp, 23.tmp и еще один (не помню номер, хотя подразумеваю, что он может быть любым). Просто с этими "молодцами" я уже встречался ранее при лечении от других троянов. Их размер состовляет по 1 кб. Думаю, что пропущу их опять же в понедельник через Virustotal...
    А пока будем ждать понедельника. Посмотрим как будет себя вести машинка ...

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    В понедельник с утра я начну с чистки временных файлов инета.
    Очистил систему стандартными средствами. Но отметил, что чистка проводится не полностью. Например, файл sv32_4.exe пришлось удалять с помощью AVZ.
    Меня еще несколько смущают файлы в корне C типа 1A.tmp, 23.tmp и еще один (не помню номер, хотя подразумеваю, что он может быть любым). Просто с этими "молодцами" я уже встречался ранее при лечении от других троянов. Их размер состовляет по 1 кб. Думаю, что пропущу их опять же в понедельник через Virustotal...
    Проверил эти файлы ... оказались чистыми. Предполагаю, что это отработанный материал от вирусов.
    А пока будем ждать понедельника. Посмотрим как будет себя вести машинка ...
    Уже вторник, но вроде все пока чисто.
    В любом случае помещаю логи (вчерашние)
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\Documents and Settings\Oborotova_VE\Local Settings\Temp\sv32_4.exe - все равно есть в логах.
    Буду созывать консилиум, жди вопросов от различных людей в этой теме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\Documents and Settings\Oborotova_VE\Local Settings\Temp\sv32_4.exe - все равно есть в логах.
    Буду созывать консилиум, жди вопросов от различных людей в этой теме.
    Думаю, что его там нет ...
    Сделаю дополнительные логи ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    c:\program files\ichat\ichat.exe - вот этот файлик загрузи через карантин для проверки. ТНК Rene-gad
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    c:\program files\ichat\ichat.exe - вот этот файлик загрузи через карантин для проверки. ТНК Rene-gad
    Писал в личку, но повторю для общественности.
    В результате повторного наступления на грабли дэвушка заразила машину повторно сегодня утром ... Поэтому все процедуры проверки выполнял повторно. Кроме логов прикладываю в карантин запрошенный файл.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Что бросается в глаза: наловили ворователей паролей. Надо будет их менять.

    В логах плохого ничего не увидел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Не получается произвести загрузку файла карантина ... выдает ошибку страницы.
    Кстати, в корне диска С появились все-теже *.tmp ... один проверил через virustottal.com. Результат 14/32

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Расшаренные папки есть? Может из сети что-то ползет.
    Диск "С" не расшарен ли полностью на запись?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    На диске С шара административная. В локалке не одна машина, но остальные не подают признаков заражения. Да и совпадение уж больно подозрительное: ловится зараза при попытке поискать информацию на одном из сайтов по вентиляции (ярлыки в архиве во вложении). И зараза то все такого типа, что на вирустотал определяется менее половиной антивирей.

    Спасибо, перебросил для рассмотрения
    Последний раз редактировалось pig; 25.03.2008 в 19:21. Причина: забрал архив

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    То, что пока видно:
    В файле >ввв.vent.aironline.ru/JavaScript.0 обнаружен вирус Trojan.Click.4223
    - Скорее всего, данный сайт и есть источник заражения. А в логах ничего подозрительного я тоже не вижу. Совсем на всякий случай, найдите и загрузите по правилам файлы
    Код:
    C:\Program Files\BIRTHDAY\birthmil.exe
    C:\Program Files\KillWatcher\kwatch.exe

  21. #20
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    62
    Цитата Сообщение от Numb Посмотреть сообщение
    То, что пока видно: - Скорее всего, данный сайт и есть источник заражения. А в логах ничего подозрительного я тоже не вижу. Совсем на всякий случай, найдите и загрузите по правилам файлы
    Код:
    C:\Program Files\BIRTHDAY\birthmil.exe
    C:\Program Files\KillWatcher\kwatch.exe
    Спасибо большое за помощь в обнаружении источника!!! Можно было бы конечно сообщить разработчикам о том, что у них зараза, но даже выходить на этот сайт не хочется, учитывая слабость нашей корпоративной защиты Так что сайт будет просто нами проигнорирован.
    Что касается запрошенных файлов, то файл C:\Program Files\BIRTHDAY\birthmil.exe никак не получается поместить в карантин средствами AVZ. Я конечно попробую это сделать руками, но проблема от этого не пропадет ... не понимаю почему (добавлял как по списку, так и через поиск *.exe с последующим добавлением)
    Второй файл отправлен
    Файл сохранён как
    080326_003423_virus_47e9e05f3cec0.zipРазмер файла468860MD59d14a0acae203ca6b497c06fdf94191f

    Второй файл готов
    Файл сохранён как 080326_004659_virus_47e9e3538763f.zip
    Размер файла 185373
    MD5 6a3bfbdbae8852bc2d1ac9710da71433
    Последний раз редактировалось CandyMAN; 26.03.2008 в 08:48. Причина: Добавление

  • Уважаемый(ая) CandyMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помощи..
      От Mellos в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.12.2010, 00:34
    2. Прошу помощи.
      От Ivan_Taranov в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.04.2010, 22:48
    3. прошу помощи
      От trg в разделе Помогите!
      Ответов: 50
      Последнее сообщение: 22.02.2009, 04:34
    4. прошу помощи 2
      От RIP в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.03.2008, 17:26
    5. Прошу помощи
      От rosalin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.03.2008, 18:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00881 seconds with 17 queries