Показано с 1 по 19 из 19.

Подцепился Type_win32 и trojan-clicker.HTML.Iframe.acy! (заявка № 39130)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56

    Exclamation Подцепился Type_win32 и trojan-clicker.HTML.Iframe.acy!

    Добрый день, пожалуйста помогите решить проблему: несколько машин с 2000 и XP заразились данными вирусами. Были испробованы все известные мне антивири в том числе Kaspersky, который вроде ка все удалил, но на самом деле все выстанавливается после перезагрузки(
    По порядку, отключил восстановление системы прошелся cureit в безопасном режиме там же запустил касперского(все антивири запускались с CD) результат нулевой. После всего этого запустил avz с драйвером маскировки на что получил:

    ntdll.dll:ntcreatefile(92) перехвачена, метод CodeHijack(метод не определен)

    После копирования avz на диск выскакивает еще и ошибка crc в файле avz.exe. Проверил зараженный avz.exe через он-лайн проверку на сайте касперского-файл чистый Не знаю где копать Как решить данную проблему? Логи прикрепил

    зы в файле hosts лепиться zief.pl 127.0.0.1 в самое начало, но это я вроде вылечил
    Вложения Вложения
    Последний раз редактировалось drongo; 06.02.2009 в 18:46.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    virusinfo_cure.zip- уберите из темы, пока я не убрал его сам при вручении красного билета
    это не лог, читайте внимательней правила.
    больше похоже на классический вирус, тут авз бессилен.
    надо несколько заражённых файлов запаковать и отравить нам по правилам- приложение 2 правил смотрите.
    также не помешает отправить в ту лабораторию, антивирус которой используете.какой вирус касперский обнаружил? Если знает как вы говорите, просто может не долечил и опять заразились повторно.
    кстати, не понял что за компот с AVG и симантеком вместе
    P.S. Type_win32 -это эвристика срабатывает, такое лечить не возможно(максимум можно удалить)надо экземпляр отослать в лаб, пусть проверят что можно сделать.
    Последний раз редактировалось drongo; 06.02.2009 в 16:50.

  4. #3
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Я дико извиняюсь) Не до смотрел. Уберите пожалуйста...

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Цитата Сообщение от drongo Посмотреть сообщение
    virusinfo_cure.zip- уберите из темы, пока я не убрал его сам при вручении красного билета
    это не лог, читайте внимательней правила.
    больше похоже на классический вирус, тут авз бессилен.
    надо несколько заражённых файлов запаковать и отравить нам по правилам- приложение 2 правил смотрите.
    также не помешает отправить в ту лабораторию, антивирус которой используете.какой вирус касперский обнаружил? Если знает как вы говорите, просто может не долечил и опять заразились повторно.
    кстати, не понял что за компот с AVG и симантеком вместе
    P.S. Type_win32 -это эвристика срабатывает, такое лечить не возможно(максимум можно удалить)надо экземпляр отослать в лаб, пусть проверят что можно сделать.
    А что именно запаковывать если kaspersky, drweb, молчит как под зараженной системой , так и под чистой?. Все чисто говорят( Могу запаковать тока сам avz c измененным crc. А что с перехватом ntdll.dll?

    Добавлено через 2 минуты

    Цитата Сообщение от drongo Посмотреть сообщение
    а сам?
    Snow81, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
    1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    2. Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.
    Активацию я прошел

    Добавлено через 12 минут

    Avz.exe выслал...
    exe файлы которые были заражены и которые нашел каспер и дрвеб удалены все. После чего был произведен накат системы заново для замены сиитемных файлов, но проблема не исчезла вот в чем странность

    Добавлено через 1 час 28 минут

    virustotal:

    Файл avz.exe получен 2009.02.06 16:25:55 (CET)
    Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО


    Результат: 9/39 (23.08%)
    Загрузка информации...
    Ваш файл в очереди на позиции: ___.
    Ожидаемое время старта между ___ и ___ .
    Не закрывайте окно до окончания проверки.
    Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
    Если вы ждете более пяти минут, попробуйте прислать файл еще раз.
    Ваш файл проверяется VirusTotal в данный момент,
    результаты отображаются по мере генерации.
    Форматированные Печать результатов
    Ваш файл просрочен или не существует.
    ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.

    Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки.
    Email адрес:


    Антивирус Версия Обновление Результат
    a-squared 4.0.0.93 2009.02.06 -
    AhnLab-V3 5.0.0.2 2009.02.06 -
    AntiVir 7.9.0.74 2009.02.06 -
    Authentium 5.1.0.4 2009.02.05 -
    Avast 4.8.1335.0 2009.02.06 -
    AVG 8.0.0.229 2009.02.06 -
    BitDefender 7.2 2009.02.06 -
    CAT-QuickHeal 10.00 2009.02.06 -
    ClamAV 0.94.1 2009.02.06 -
    Comodo 967 2009.02.06 -
    DrWeb 4.44.0.09170 2009.02.06 -
    eSafe 7.0.17.0 2009.02.05 Suspicious File
    eTrust-Vet 31.6.6345 2009.02.06 Win32/Virut.17408
    F-Prot 4.4.4.56 2009.02.05 -
    F-Secure 8.0.14470.0 2009.02.06 -
    Fortinet 3.117.0.0 2009.02.06 -
    GData 19 2009.02.06 -
    Ikarus T3.1.1.45.0 2009.02.06 -
    K7AntiVirus 7.10.622 2009.02.06 -
    Kaspersky 7.0.0.125 2009.02.06 -
    McAfee 5517 2009.02.06 W32/Virut.n
    McAfee+Artemis 5517 2009.02.06 W32/Virut.n
    Microsoft 1.4306 2009.02.05 -
    NOD32 3833 2009.02.06 Win32/Virut.NBK
    Norman 6.00.02 2009.02.06 W32/Virut.BS
    nProtect 2009.1.8.0 2009.02.06 -
    Panda 9.5.1.2 2009.02.06 -
    PCTools 4.4.2.0 2009.02.06 -
    Prevx1 V2 2009.02.06 -
    Rising 21.15.40.00 2009.02.06 -
    SecureWeb-Gateway 6.7.6 2009.02.06 -
    Sophos 4.38.0 2009.02.06 W32/Scribble-A
    Sunbelt 3.2.1847.2 2009.02.06 -
    Symantec 10 2009.02.06 W32.Virut.CF
    TheHacker 6.3.1.5.248 2009.02.06 -
    TrendMicro 8.700.0.1004 2009.02.06 PE_VIRUX.A-3
    VBA32 3.12.8.12 2009.02.05 -
    ViRobot 2009.2.6.1594 2009.02.06 -
    VirusBuster 4.5.11.0 2009.02.06 -
    Дополнительная информация
    File size: 754688 bytes
    MD5...: 962bad8314d186dc02b557f340e43c65
    SHA1..: 0e36fca1f8d430c6ed6574d163f882eba839991c
    SHA256: 3da142f02fa8886088d0353433580652d2104e34bf24f9ee60 00679495080ba5
    SHA512: 6b3c3d5ce560a03b796d5bac33f94eda7c9fcdf80da06e0a3d 8495f6cf2c3487
    2daf8defe9a267201b72b1b2ebb877f883faf9dd1af34819ad 7e959014870543

    ssdeep: 12288iOpgP8Dom/fzLqUP9XoW7VypyI6L9QQp+nE16ZQmReJ7LBiXW9fB5NA
    Ppg0ksfN9XH7kpQpMA6ZteJRio5N

    PEiD..: -
    TrID..: File type identification
    Generic Win/DOS Executable (49.9%)
    DOS Executable Generic (49.8%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x27025b
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x1b7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x1b8000 0xaa000 0xa9c00 7.92 320e8fe3db7be67d6e89d0968ffc3fa3
    .rsrc 0x262000 0xf000 0xe400 5.10 5bdfe3ee7c108e1f055821107c7652d2

    ( 13 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
    > advapi32.dll: FreeSid
    > comctl32.dll: ImageList_Add
    > comdlg32.dll: PrintDlgA
    > gdi32.dll: SaveDC
    > ole32.dll: CoInitialize
    > oleaut32.dll: VariantCopy
    > shell32.dll: DragFinish
    > user32.dll: GetDC
    > version.dll: VerQueryValueA
    > wininet.dll: InternetOpenA
    > winspool.drv: OpenPrinterA
    > wsock32.dll: htons

    ( 0 exports )

    packers (Kaspersky): PE_Patch
    Последний раз редактировалось Snow81; 06.02.2009 в 18:41. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    ладно,хотя бы его.http://virusinfo.info/upload_virus.php?tid=39130
    только в zip с паролем virus

    Добавлено через 2 минуты

    интересно,а из моей подписи avz тоже меняется таким странным образом ? сделайте virusinfo_syscure.zip для сравнения( прикрепите к следующему сообщению )
    Последний раз редактировалось drongo; 06.02.2009 в 18:48. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Тама

  9. #8
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Есть
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    насчёт перехватов-> симантек так работает, кто до него перехватывает- только Neo знает. P.S.

    это не от моей авз я же сказал сделать с той, которая в моей подписи .
    Последний раз редактировалось drongo; 06.02.2009 в 19:01.

  11. #10
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Во во я с этим Нео, на пару уже 3 дня сижу + 6 машин

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    сделайте с моей авз в нормальном режиме.
    только не забудьте симатек и интернет отрубить перед запуском.

    весело, на ваш авз эвристик kis ругается HEUR:Trojan.Win32.Invader
    Как ответ из лаба будет- сообщим.
    P.S. жду лога от авз из подписи.
    Последний раз редактировалось drongo; 06.02.2009 в 19:09.

  13. #12
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Вот тока там таже фигня походу
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    разница есть, вот например новые появились

    выполнить скрипт авз из моей подписи
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     Clearquarantine;
     QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
     QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
     QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    очень важно прислать нам.

  15. #14
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Выслал,
    Сорри забыл запоролить...
    Перевыложил)

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    авз сам паролит как положено. не надо помогать

    Добавлено через 1 минуту

    посмотрел, к сожалению файлов на диске нет, это только следы.
    Последний раз редактировалось drongo; 06.02.2009 в 19:39. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Фигня у меня таких много Выслал еще карантин с другой машины, там еще в автозапуске c:\windows\services.exe

  18. #17
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    12
    Вес репутации
    56
    Еще с той же тачки...
    Есть какие-нить мысли по поводу...
    Вложения Вложения

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    avz.exe_ - Virus.Win32.Virut.ce

    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
    Ждите обновление Касперского и лечитесь...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. \avz.exe - Virus.Win32.Virut.ce
      2. avz.exe - Virus.Win32.Virut.ce


  • Уважаемый(ая) Snow81, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Clicker.HTML.IFrame.sl
      От Kraft в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 06:21
    2. На сайте вирус Trojan-Clicker.HTML.IFrame.cu
      От Sokil в разделе Помогите!
      Ответов: 66
      Последнее сообщение: 22.02.2009, 04:35
    3. найдена Trojan-Clicker.HTML.IFrame.bj
      От KOPERATOR в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:35
    4. KIS7 кричит: Trojan-Clicker.HTML.IFrame.yo
      От MyFirstDay в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.11.2008, 21:00
    5. Ответов: 5
      Последнее сообщение: 23.04.2008, 09:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00836 seconds with 17 queries