Показано с 1 по 17 из 17.

Подозрительные файлы и утечка траффика (заявка № 75992)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52

    Thumbs up Подозрительные файлы и утечка траффика

    Доброй ночи. Суть двух проблем: периодически (примерно раз в две недели) в папке system32 появляются подозрительные файлы, на которые антивирус никак не реагировал. Эти файлы я тогда сам изолировал, отправлял на анализ и удалял. Последние два были обнаружены с неким процессом в оперативной памяти AcroRd32.exe, или очень похожий на него, имя точно не запомнил, объёмом в 300 МБ. Процесс безболезненно убивался. Техподдержка антивируса заявила, что файлы не опасны. Сейчас два образца я заархивировал и запаролил. На всякий случай проверил их на ВирусТотал. Результаты выложу, если посчитаете нужным, но, согласно правилам, прилагаю только логи.
    Кроме того, при подключенных сетях (и к локальной и к интернету) постоянно отправляются и принимаются какие-то байты и пакеты, хотя обращений никаких в этот момент не делается. Раньше такого не наблюдалось. Подозреваю, что эта постоянная отправка/приём и провоцирует появление подозрительных файлов. Может что подскажете?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
     F2 - REG:system.ini: UserInit=C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem3294352ea5.exe,\?g lobalrootsystemrootsystem32GYD4rqW.exe,C:WINDOWSsystem325c82793b.exe,C:WI NDOWSsystem328b9cbbf7.exe,\?globalrootsystemrootsystem32LldMuJU.exe,
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\94352ea5.exe','');
     QuarantineFile('C:\WINDOWS\system32\8b9cbbf7.exe','');
     QuarantineFile('C:\WINDOWS\system32\5c82793b.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\rockusb.sys','');
     DeleteFile('C:\WINDOWS\system32\5c82793b.exe');
     DeleteFile('C:\WINDOWS\system32\8b9cbbf7.exe');
     DeleteFile('C:\WINDOWS\system32\94352ea5.exe');
     QuarantineFile('C:\WINDOWS\system32\GYD4rqW.exe','');
     DeleteFile('C:\WINDOWS\system32\GYD4rqW.exe');
     QuarantineFile('C:\WINDOWS\system32\LldMuJU.exe','');
     DeleteFile('C:\WINDOWS\system32\LldMuJU.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    В HijackThis строку пофиксил,
    В AVZ два скрипта выполнил,
    То что попалось в карантин посл... загрузил по красной ссылке,
    Выкладываю повторные логи, то что просили:

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Сделайте такой лог.

  6. #5
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    Сделал такой лог.
    Я так понимаю, вам нужно вот это?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    удалить в MBAM
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\Alex\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
    Добавлено через 1 минуту

    повторите лог MBAM

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Проведите процедуру, которая описана в первом сообщении тут.
    Последний раз редактировалось polword; 13.04.2010 в 08:34. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    То, что сказали удалил в MBAM. Прикрепляю новый лог.
    Процедуру счаз проведём...
    По остальным обновлениям есть вопросы.
    Например: как выгрузить мой антивирус, если можно только приостановить его работу и процессы в памяти всё равно остаются. На AVZ это не влияет, а на установку Service Pack? И подобные вопросы не к этой теме, конечно.
    Последний раз редактировалось Alex4247; 13.04.2010 в 09:46.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Цитата Сообщение от Alex4247 Посмотреть сообщение
    как выгрузить мой антивирус
    http://virusinfo.info/showthread.php?t=57441
    The Truth is Out There

  10. #9
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    Это-то понятно. Я говорю про процессы, которые всё равно остаются в памяти.

    Просили выполнить скрипт 4. Выполнил. Здесь продублирую:
    Файл сохранён как 100413_102925_virusinfo_files_ALEXSOPRANO4429_4bc4 0f4590c84.zip
    Размер файла 516939
    MD5 30c41fe84dce5160a329680de2efcd86

  11. #10
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    ...Или вот этот лог был нужен... Честно говоря сам немного запутался.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Процессы установке не помешают, обновляйтесь. А лог МВАМ новый сделайте. Что с проблемами?
    The Truth is Out There

  13. #12
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    Проблема та же: по локальной сети что-то без моего ведома отправляется/прибывает. За подозрительными файлами посматриваю.

    Новый лог MBAM, извините, пока без обновлений.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    AVZPM- установить драйвер расширенного мониторинга процессов, перезагрузитесь, логи AVZ повторите
    The Truth is Out There

  15. #14
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    После установки драйвера и перезагрузки, при старте аварийно завершилась работа приложения ESET GUI, после чего антивирус успешно продолжил свою работу. Когда логи были сделаны и проведены повторные перезагрузки, работа приложения GUI больше не нарушалась.
    Выложил требуемые логи:

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    В логах ничего подозрительного
    The Truth is Out There

  17. #16
    Junior Member Репутация
    Регистрация
    11.03.2010
    Сообщений
    17
    Вес репутации
    52
    В локальной сети продолжает что-то отправляться/приниматься, иногда вместе с интернетом. Лишние файлы не появлялись; буду следить.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\lldmuju.exe - Trojan-Dropper.Win32.Shiz.be ( DrWEB: Trojan.PWS.Ibank.28, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\8b9cbbf7.exe - Trojan-Dropper.Win32.Agent.bvxp ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) Alex4247, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подозрительные файлы...
      От кубик рубис в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.10.2011, 22:53
    2. Подозрительные файлы.
      От harwid в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.01.2011, 19:45
    3. Подозрительные файлы
      От svital в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 18.03.2010, 17:05
    4. Подозрительные файлы
      От arnyc в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.03.2010, 16:13
    5. Подозрительные файлы!!!
      От кубик рубис в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 16.12.2009, 07:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01278 seconds with 19 queries