Страница 2 из 3 Первая 123 Последняя
Показано с 21 по 40 из 53.

Порнографический баннер (Trojan.Win32.Agent2.cqzi): описание и лечение

  1. #21
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    (зараженный с ограниченной учетки, из под админа вычищает локера в два клика).
    Как? (исключение дроп в temp и ключ в HKCU)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Гриша Посмотреть сообщение
    Как? (исключение дроп в temp и ключ в HKCU)
    и зловред к примеру в common fales под названием svhost.exe
    http://club-symantec.ru/forum.php

  4. #23
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    и зловред к примеру в common fales под названием svhost.exe
    Там R/O у Limited User.

  5. #24
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Ты имеешь ввиду удаление у ограниченного пользователя?
    http://club-symantec.ru/forum.php

  6. #25
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    Ты имеешь ввиду удаление у ограниченного пользователя?
    Я имею ввиду то, что там нельзя создать файл под огр. учеткой

  7. #26
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Гриша Посмотреть сообщение
    Я имею ввиду то, что там нельзя создать файл под огр. учеткой
    Ошибаешься именно там он и лежал. Проверено на практике, с удалением винлока в корзину
    Ну естественно был почищен temp и ключ в реестре. Кстати, чистка tempа и реестра, ничего не дала, после перезагрузки банер также висел. Пропал только после удаления экзешника.
    http://club-symantec.ru/forum.php

  8. #27
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    Ошибаешься именно там он и лежал. Проверено на практике, с удалением винлока в корзину
    На XP у пользователей нет прав для создания файлов в этой папке, на 7 тоже, Vista не исключение

  9. #28
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Гриша Посмотреть сообщение
    На XP у пользователей нет прав для создания файлов в этой папке, на 7 тоже, Vista не исключение
    Тем не менее экзешник там и лежал. Говорю это потому что, это случилось вчера на моем рабочем компе. Первый раз словил локера под номером 1756 по вебовской квалификации. Подозреваю, что позавчера заходил на один информационно-консультативный сайт и IE вдруг заглючил и завис, пришлось процесс убивать в диспетчере. С утра включил комп - банер среднего размера на рабочем столе с требованием отправить смс. Посмотрел логи корпоративного касперского, троян удален, в резервном хранилище, но баннер светился на весь рабочий стол. Позвал админа, зашли под админской учеткой, винлокера обнаружили в common fales под названием svhost.exe, где еще был текстовый файл с записью 46 часов.
    На компе XP.
    У меня на рабочем компе на IE скрипты отключены, тем не менее локера через IE получил. Честно говоря так и не понял, как он просочился.
    http://club-symantec.ru/forum.php

  10. #29
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    Тем не менее экзешник там и лежал. Говорю это потому что, это случилось вчера на моем рабочем компе. Первый раз словил локера под номером 1756 по вебовской квалификации. Подозреваю, что позавчера заходил на один информационно-консультативный сайт и IE вдруг заглючил и завис, пришлось процесс убивать в диспетчере. С утра включил комп - банер среднего размера на рабочем столе с требованием отправить смс. Посмотрел логи корпоративного касперского, троян удален, в резервном хранилище, но баннер светился на весь рабочий стол. Позвал админа, зашли под админской учеткой, винлокера обнаружили в common fales под названием svhost.exe, где еще был текстовый файл с записью 46 часов.
    На компе XP.
    У меня на рабочем компе на IE скрипты отключены, тем не менее локера через IE получил. Честно говоря так и не понял, как он просочился.
    Я сейчас взял такой сампл и посмотрел, естественно он не работает под огр. учетной записью. Выскажись своему админу.

  11. #30
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    А там не Power User?
    Этой учетке больше разрешено
    The worst foe lies within the self...

  12. #31
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227
    Да и надо бы глянуть какая ФС и права на эту папку какие стоят.

  13. #32
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Kuzz Посмотреть сообщение
    А там не Power User?
    Этой учетке больше разрешено
    Нет, простой пользователь.
    http://club-symantec.ru/forum.php

  14. #33
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    Нет, простой пользователь.
    Посмотри права на эту папку.

  15. #34
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Чтение и исполнение.
    Ошибся, запись тоже есть.

    Добавлено через 2 часа 13 минут

    Логи корпоративного каспера:
    Удалено троянская программа Trojan.Win32.Agent2.cqzi С:\Documents and Settings\.......\Local Settings\Temp\1F99.tmp 24.05.2010 15:40:28
    Не справился.
    Последний раз редактировалось SDA; 26.05.2010 в 16:00. Причина: Добавлено
    http://club-symantec.ru/forum.php

  16. #35
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от SDA Посмотреть сообщение
    Чтение и исполнение.
    Ошибся, запись тоже есть.
    Интересно, зачем они там?

  17. #36
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Гриша Посмотреть сообщение
    Интересно, зачем они там?
    Честно говоря до этого случая, просто не обращал внимания
    Теперь уделю внимание
    http://club-symantec.ru/forum.php

  18. #37
    Junior Member Репутация
    Регистрация
    28.10.2008
    Сообщений
    28
    Вес репутации
    57
    Ещё в феврале с удивлением обнаружил,
    что винлокеры проникают через Java-машину

    Так что у меня от винлокеров свой "рецепт" :-)

    1) Открыть Adobe Acrobat Reader, Редактирование - Установки,
    в разделе JavaScript снять птичку с "разрешить"
    в разделе "Надежность мультимедиа" поставит все форматы на "по запросу".

    2) Отключить во всех браузерах JAVA (не путать с JavaScript).
    В IE, если не ошибаюсь, это можно сделать, например, через HiJackThis;
    в Опере - через opera:config, спойлер Java; в FireFox - не знаю, не пользуюсь.

    П.С. "Дырку" в Java вроде бы заткнули месяц назад...

  19. #38
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,214
    Вес репутации
    138
    Цитата Сообщение от SDA Посмотреть сообщение
    Говорю это потому что, это случилось вчера на моем рабочем компе.
    Спасибо, посмеялся...
    У меня брат попросил что то настроить в 1с, привёз с работы компьютер, так называемый "сервер". Мне было не интересно заниматься всякой ерундой с этим 1с, поэтому посмотрел как обстоят дела с операционкой, он у них был подключён к интернету. Было очень много троянов и кейлоггер, мы ничего не удаляли просто бумажку написали. Месяца через два там уже появилось сообщение про смс. И это при том что у них работают люди которые обслуживают этот зоопарк и получают деньги

  20. #39
    Junior Member Репутация
    Регистрация
    17.07.2008
    Сообщений
    21
    Вес репутации
    58
    Ради интереса вчера попробовал полечить эту заразу с помошью Kaspersky Rescue Disk 10, с обновленными базами. Ничего не нашёл...

  21. #40
    Junior Member Репутация
    Регистрация
    03.08.2009
    Сообщений
    6
    Вес репутации
    54
    есть подозрение, что оно лежит в игре "миллионер" на freeware.ru

Страница 2 из 3 Первая 123 Последняя

Похожие темы

  1. у меня антивирусник выдает Trojan.Win32.Agent2.cqzi (заявка №19693)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 14.07.2010, 06:00
  2. Порнографический баннер: 3381
    От Slavjyan в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 27.06.2010, 21:29
  3. Порнографический баннер - последствия
    От wensdy в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 01.06.2010, 13:28
  4. Порнографический баннер 3381
    От Ведмедь в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 23.05.2010, 16:10
  5. Ответов: 12
    Последнее сообщение: 21.05.2010, 17:30

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00733 seconds with 17 queries