Страница 2 из 2 Первая 12
Показано с 21 по 33 из 33.

Подозрение на неизвестный вирус (заявка № 6069)

  1. #21
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    ладно, эта тема скользкая, так что...
    на текущий момент проблема в другом. человек, который сейчас с этим возится, говорит, что проблема не ликвидирована на 100%. То есть, впечатление такое, что НЕЧТО закачало этот троян на машину. И касперский хоть и сам троян нашел, но что-то в системе осталось.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    с каждым часом все интереснее - подозрение на упомянутый троян оказалось ложным срабатыванием касперского. проверка подозрительных файлов тут же на avp.ru, на отдельной машине с только что установленными чистыми виндами (и с моей) показывает, что никаких вирусов нет.

    тем временем, "подозрительная" машина совсем перестала выходить в инет - после дозвона в браузере ничего открыть нельзя.
    жду отчет о трафике из commview.

  4. #23
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    А, т.е. там не Lineage.acn ?
    А я его разыскиваю, чтобы посмотреть, может ли такое быть. Нашел только .ach
    Странное ложное срабатывание. На http://virustotal.com попробуйте файлы проверить.
    Насчет выхода в инет - проверьте цепочку LSP/SPI, AVZ это проверяет, может исправлять. Надо просто запустить проверку, можно без выбора дисков. А чтобы исправить - поставить разрешающую птицу на третьей вкладке.

  5. #24
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    73
    Я правильно понимаю, что один и тот же файл одним и тем же антивирусом с одинаковыми базами на одной машине опознается как зараженный, а на другой - как чистый, притом что ни там, ни там он не запускался, а был просто скопирован на обе машины?

    В таком случае могу предположить, что на одной из машин есть проблемы с памятью, из-за чего в момент проверки этого файла какой-то из байтов файла портится так, что происходит ложное срабатывание антивируса. Это очень маловероятно, но тем не менее возможно: у меня при разогнанной памяти AVP Инспектор стабильно ругался на изменение одного из нормальных файлов.

    Рекомендую взять memtest86, и хорошенько проверить память на обоих машинах.

  6. #25
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    Продолжение, извиняюсь за долгое молчание. AVP 6 до сих пор ничего не находит. Но периодически ругается на то, что разные процессы пытаются внедриться в чужую память. Например:

    17.08.2006 12:41:32 Процесс C:\WINDOWS\System32\svchost.exe, обнаружено: потенциально опасное ПО Invader (модификация)
    17.08.2006 14:40:53 Процесс C:\Program Files\Internet Explorer\iexplore.exe (PID: 2364): попытка выполнения подозрительных действий заблокирована.
    17.08.2006 17:21:28 Попытка процесса с PID 1976 получения доступа к процессу Антивирус Касперского 6.0 с PID 1172 была заблокирована. Это результат срабатывания механизма самозащиты.

    Еще я в tcpview (sysinternals) углядел какой-то странный процесс, который невозможно обнаружить ничем (в т.ч. processexplorer), невозможно убить, и его соединения невозможно отрубить:
    [System Process]:0 TCP SVETA-IBASE:1110 localhost:3809 TIME_WAIT
    [System Process]:0 TCP sveta-ibase:1630 cds4.lon.llnw.net:http TIME_WAIT
    [System Process]:0 TCP sveta-ibase:1081 host37.rax.ru:http TIME_WAIT
    [System Process]:0 TCP sveta-ibase:1083 217.73.199.91:http TIME_WAIT

    процесс лезет например на 84.53.146.8.
    еще интересно, что даже сам avp лезет на странные адреса типа
    avp.exe:1316 TCP sveta-ibase:3783 64.236.46.5:http ESTABLISHED

    AVZ проверил еще раз - ничего не находит.

    p.s. вчера наблюдал как кусок от winamp 5 - gen_ff.dll, по сообщениям avp6 якобы пытался внедриться в память к другим процессам. winamp5 ставил со свежего диска к журналу Навигатор Игрового Мира за сентябрь.
    Последний раз редактировалось kdv; 18.09.2006 в 11:52.

  7. #26
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Повторите все логи, благо новая версия AVZ вышла.

  8. #27
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    Итак, второй заход, файлы прицеплены. Есть еще логи открытых портов и адресов/ip в момент сеанса в интернете на модеме.
    Вложения Вложения

  9. #28
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Вы эти файлы присылали?
    Код:
    C:\WINDOWS\system32\drivers\cmaudio.sys
    C:\WINDOWS\system32\ckldrv.sys
    C:\WINDOWS\System32\drivers\sfdrv01.sys
    C:\WINDOWS\System32\drivers\sfhlp02.sys
    C:\WINDOWS\System32\drivers\sfsync04.sys
    C:\WINDOWS\system32\DRIVERS\slabbus.sys
    C:\WINDOWS\system32\DRIVERS\slabser.sys
    C:\WINDOWS\system32\drivers\ts_lb.sys
    C:\WINDOWS\system32\DRIVERS\tscomm.sys
    C:\WINDOWS\system32\DRIVERS\slabcm.sys
    C:\WINDOWS\system32\DRIVERS\slabwh.sys
    Кроме них, в логах ничего необычного.

  10. #29
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    Файл сохранён как 060920_114507_vrs_451162038ebfb.zip
    Размер файла 331937
    MD5 502e3fb1aab38fa3bfec7e182efdc5ef

  11. #30
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    На компе нашли странный файл CBEZEXYDAQXM.exe, лежащий в temp и прописанный как сервис. Антивирусами не опознается.

    отправил как
    Файл сохранён как 060926_045632_file_4518eb400de68.zip
    Размер файла 118534
    MD5 f1af28a0f898f581710fcab3fd8d9179


    пароль virus

  12. #31
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    в общем, если не сможете понять, что это, придется на компе все убить и переустановить ОС. и мы так и не узнаем, что это была за гадость...

  13. #32
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от kdv
    На компе нашли странный файл CBEZEXYDAQXM.exe, лежащий в temp и прописанный как сервис. Антивирусами не опознается.
    кусок Rootkit Revealer

  14. #33
    Junior Member Репутация
    Регистрация
    17.08.2006
    Сообщений
    23
    Вес репутации
    65
    Цитата Сообщение от MOCT
    кусок Rootkit Revealer
    интересно. почему тогда этот файл прописан в сервисах и работал.
    rootkit revealer с sysinternals запускали, не спорю, но что-ж он, сам так устанавливается, да еще лежа в temp?
    я тоже его запускал, но ни в сервисах ни в temp ничего такого не наблюдаю.

    кроме того - обратите внимание на размер файла. в rootkit revealer ничего такого нет. Проверили еще раз - никаких подобных файлов на машине не возникает.

  • Уважаемый(ая) kdv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 2 из 2 Первая 12

    Похожие темы

    1. Неизвестный вирус
      От 3910402 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.05.2010, 13:38
    2. Подозрение на неизвестный вирус
      От joyce в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.07.2009, 18:01
    3. Срочно! Неизвестный вирус
      От NetomaN в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.06.2009, 13:47
    4. Неизвестный вирус
      От sinzovmi в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 30.01.2008, 13:16
    5. неизвестный вирус
      От Tourist в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.08.2007, 13:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00764 seconds with 18 queries