Показано с 1 по 15 из 15.

Предположительно завелся троян (заявка № 9684)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63

    Exclamation Предположительно завелся троян

    Предположительно компьютер заражен. Почему пришел к такому выводу:
    на компьютере установлен Outpost Security Suite , который в последние дни постоянно сообщает что процесс svhost.exe соединяется с различными ай.пи. адресами.
    Зайдя на http://www.nic.com/cgi-bin/whois.cgi посмотрел что из себя представляют адреса, ни один мне ни о чем не говорит...
    Некоторое время назад устаналивал Eset Smart Security 3.0.128.0 Beta и в ходе сканирования программа сообщила что данный процесс заражен Win32/Bifrose.AEP trojan (скрин есть, в случае необходимости приаттачу). Впрочем, стоящий сейчас NOD32 с постоянно обновляющимися базами при сканировании (в том числе и при глубоком анализе) ничего не находит.
    Ничего не находят также Spybot - Search & Destroy , BitDefender 8 Free Edition , Lavasoft Ad-Aware SE Professional и сканер Outpost (на всех программах базы обновляю постоянно).
    Файл "virusinfo_cure.zip" не нужно никуда заливать пока не попросят : если бы прочитали внимательно правила, то присоединять надо "virusinfo_syscure.zip"
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 13.05.2007 в 15:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Не хватает еще virusinfo_syscure.zip
    А это -
    Цитата Сообщение от subjectt Посмотреть сообщение
    Файл "virusinfo_cure.zip:208.0 Кбайт превысил(а) предел на форуме" Залил его на Рапиду.
    файл карантина, высылается по ссылке, указанной в правилах, но только после запроса хелперов.

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    Да вообщем-то правила я прочел и не один раз. Повторил все пункты с 8 - по 12-й, раз пять минимум. В папке \avz4\LOG
    после проделанной процедуры всегда появляются всего лишь три файла:
    1) virusinfo_cure.zip
    2) virusinfo_syscheck.zip
    3) virusinfo_syscheck.htm

    Архива virusinfo_syscure.zip нет С помощью Index Your Files - Home! перерыл весь комп, такого файла нет. Не пойму что делаю не так, ведь судя по содержимому сообщений других пользователей у народа с созданием этого архива проблем нет.

  5. #4
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    На компе стоит WinXP pro англоязычная, MUI не ставил пока. AVZ же русскоязычная. Это как-то может влиять?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от subjectt Посмотреть сообщение
    На компе стоит WinXP pro англоязычная, .... AVZ же русскоязычная. Это как-то может влиять?
    Да.

  7. #6
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    К сожалению ни в англоязычной ни в русскоязычной версии утилиты после выполнения скрипта архив virusinfo_syscure.zip не создается... Возможно ли воспользоваться хотябы теми файлами что я прикрепил выше?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Свяжитесь через ЛС с Олегом Зайцевым

  9. #8
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    Выполнил скрипты в AVZ в safe mode - все получилось.
    p.s. перед этим сканировал НОДом в режиме углобленного сканирования,
    удалил троян (так во всяком случае считает антивирус, заражен svhost.exe ) однако Outpost все-равно сообщает что процесс соединяется с неизвестными ай.пи. адресами.
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если файл действительно svhost.exe, то в карантин его и прислать через форму загрузки.
    Думаю, еще могут быть проблемы с двумя антивирусами (Nod32, BitDefender) и Outpost.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    Цитата Сообщение от PavelA Посмотреть сообщение
    Думаю, еще могут быть проблемы с двумя антивирусами (Nod32, BitDefender) и Outpost.
    Вторым антивирусом стоит на компе BitDefender 8 Free Edition , это только сканер, антивирусного монитора в этой версии продукта нет, использую его один раз в месяц, врядли он будет воевать с NOD32. Правда в Outpost Security Suite PRO также есть встроенный антивирус, но честно говоря я ему не особо доверяю. Относительно зараженного файла - просканю вечером когда вернусь домой еще раз, но если его удалил антивирус при предыдущем сканировании ведь его может и не быть...

  12. #11
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    Просканировал винт BitDefender и Nod32 - ничего не нашел, так что выслать файл в карантин не представляется возможным
    p.s. порылся в логах NOD32 :
    05.05.2007 17:34:48 AMON файл C:\windows\system32\win32gi\svchost.exe Win32/Bifrose.AEP
    В логе указано - "ошибка при очистке - действие недоступно для данного типа объекта". Судя по всему помешал это сделать Outpost . Однако после этой даты сканер антивируса ничего не находит, вроде бы и файл не очищен и нет его теперь ... а процесс все-равно ежедневно ломится на какие-то адреса.
    Последний раз редактировалось subjectt; 25.05.2007 в 01:08.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Видишь какая большая разница выяснилась, как говорят в Одессе.
    Имя файла-то немного другое.

    По сути: в логах C:\windows\system32\win32gi\svchost.exe не видно. Надо поискать в AVZ. Если найдется, то прислать.

    З.Ы. В соседней теме была проблема с совместным использованием Nod32 и Outpost. Глючил как раз AMON
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    Ага, есть такое дело, писал по памяти, не сразу сообразил что в логах антивируса можно найти точное название файла, приношу свои извинения. А помимо этого в логах есть еще что-нибудь вызывающее вопрос подозрение о наличии вируса? Очень сильно беспокоит тот факт что инет постоянно отключается, частенько не могу скачать несчастные 80 метров с Рапиды, да и неудобно это, у меня постоянно включен eMule и utorrent , ничего не могу толком скачать ни ночью ни когда на работу ухожу... Грешил на Outpost но даже если его удалить инет все-равно отключается.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Думаю, пора пытаться сделать логи в нормальном режиме. Наверняка, чего-нибудь интересное увидим.

    А что за програмулина bonjour? Как-то странно описан ее сервис в логе HJ
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    22.01.2007
    Сообщений
    13
    Вес репутации
    63
    Самого заинтересовала прожка, появилась она после установки Adobe Photoshop CS3 Extended . Порылся на forum.ru-board.com и вот что нашел:
    "Creative Suite 3 and CS3 components install Bonjour (Windows)
    When you install any edition of the Adobe Creative Suite 3 family or a CS3 component on Windows, Bonjour for Windows will be installed as a service on the machine. Bonjour for Windows is Apple networking software which is used by Adobe Version Cue CS3 client applications to dynamically discover Version Cue Servers on the local network.

    The Bonjour Printer Wizard and Bonjour plug-in for Internet Explorer are not installed as part of Adobe Creative Suite 3 or CS3 component installation.

    For more information about Bonjour, see Apple's Bonjour technology brief, http://images.apple.com/macosx/pdf/MacOSX_Bonjour_TB.pdf"
    Вообщем мне не понравилось что какая-то прога без моего ведома устанавливается и ломится в инет и Фотошоп был снесен - поставил Gimp Так что теперь ее уже на компе нет.

  • Уважаемый(ая) subjectt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 26.05.2011, 00:08
    2. Ответов: 4
      Последнее сообщение: 22.01.2010, 15:35
    3. троян завелся "Trojan-Downloader.Win32.Small.jld"
      От kapsula170 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2009, 02:29
    4. Завелся троян.
      От Дмитрий в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 01:46
    5. Ответов: 5
      Последнее сообщение: 22.02.2009, 01:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00902 seconds with 18 queries