снова гады :(((

Printable View

14.07.2007, 20:25
punk_prankster

снова гады :(((

[COLOR=black]Вобщем по пунктам:[/COLOR]

[COLOR=black]1. еще когда до этого лечился у вас и полностью почистился как вы сказали, всер авно обнаружил ( и сейчас вот то же), что при выполнении стандартных скриптов на АВЗ в теле утилиты пишется "Прямое чтение с С:\WINDOWS\Temp\armA54.tmp" хотя вредоносных файлов 0. И хэлперы при этом же говорили, что логи чистые... Кстати, пытался найти вручную с помощью стандартного "помощника по поиску" и с помощью АВЗ - не находит и не видит такого файла... что это может быть?[/COLOR]

[COLOR=black]2. тоже самое как в п.1 только речь теперь о другом файле, о нем в теле АВЗ пишет:[/COLOR]
[COLOR=red][FONT='MS Sans Serif']C:\Program Files\The Bat!\thebat.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Файл "C:\Program Files\The Bat!\thebat.exe.BAK" успешно помещен в карантин[/FONT][/COLOR]

[COLOR=black]3. то же, что и в пп.1-2. но еще другой файл: [/COLOR]
[COLOR=red][FONT='MS Sans Serif']C:\Documents and Settings\[/FONT][/COLOR][COLOR=red][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=red][FONT='MS Sans Serif']\Local Settings\Temp\dodatok_flash_1\ZIMIN.ZIP Invalid file - not a PKZip file[/FONT][/COLOR]

[COLOR=black]4. вот буквально с полчаса назад перешел по ссылке с официального (!) городского ресурса по двум другим ссылкам (если надо могу их указать в личку). и, видимо, сайты, на которые они ведут заражены или их хакнули, покрайней мере мой НОД сразу написал что там троян, но какой-то вроде новый и не смог удалить. после этого я запустил АВЗ, но и там в теле ничего вроде стандартных фраз "удалено/перемещено в карантин" не писалось, хотя вот я точно знаю что словил вирус, т.к. обнаружил файл с икзэшным расширением прям на С:\msntuyap.exe Потом проверил этот файл на ВирусТотале (вот результат: [URL="http://www.virustotal.com/resultado.html?61dacf66054213751f721688ac3ae244"][COLOR=#ff0000]http://www.virustotal.com/resultado.html?61dacf66054213751f721688ac3ae244[/COLOR][/URL] ). Таки вирус, и если это таки пинч, то буду сейчас менять пароли. Помогите, плиз, убить и эту дрянь! Да, и НОД тут ругался, что что-то попало во врменнные файлы, поэтому я их почистил, удалили куки.[/COLOR]

[COLOR=black]Логи цепляю...[/COLOR]
14.07.2007, 22:03
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe','');
QuarantineFile('c:\msntuyap.exe','');
QuarantineFile('C:\WINDOWS\Temp\armA54.tmp','');
DeleteFile('c:\msntuyap.exe');
DeleteFile('C:\WINDOWS\Temp\armA54.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11057[/url]
Поменяйте на всякий пожарный пароли, хотя каспер говорит что просто качалка вирусов.
14.07.2007, 22:38
punk_prankster

сейчас выполню прописанный вами скрипт. вот еще буквально только что просканировался НОДом. высылаю 2 скрина: в одном логи по обычному скану, в другом - в глубоком режиме.
15.07.2007, 12:57
punk_prankster

повторные логи делать?
15.07.2007, 13:34
Макcим

Сделайте.
15.07.2007, 15:34
punk_prankster

новые логи.
16.07.2007, 12:57
punk_prankster

так что слышно с логами?
16.07.2007, 13:19
PavelA

Карантин за вчерашнее число с одним файликом пришли.
Попробуем его загнать на virustotal, потом по имени будем искать описание и способы лечения.
16.07.2007, 14:05
punk_prankster

а тем временем, когда вот делал сегодня логи пишется:

[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\IH58D.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\IH58F.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\IH59C.tmp[/FONT][/COLOR][COLOR=black][/COLOR]
[COLOR=black][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Но при этом выдает: найдено вредоносных программ 0[/FONT][/COLOR]
[COLOR=black][/COLOR]
[COLOR=black][/COLOR]
[COLOR=black][FONT='MS Sans Serif']И еще, что-то не то при скане АВЗ, когда уже отсканировано 97% вылазит ошибка "Нет устройства в диске. Вставьте диск в устройство Е". Рантше такого не появлялось...[/FONT][/COLOR]
16.07.2007, 14:27
PavelA

Про файлы это нормально. Не надо бояться.
Тот карантин, что я просил, загрузи плс.

Вся проблема заключается в том, что Ваш антивирус хорошо опред. файлы, но в их базах нет описания, что он заражает. Есть вероятность, что еще несколько файлов входят в комплект данного зловреда.
Хотелось бы их удалить тоже.
16.07.2007, 15:21
punk_prankster

ок, сейчас вышлю карантин тот. я вначале невнимательно прочитал - показалось, что "пришел", а не "пришлИ" :)

пока я буду загружать карантин, посмотри пожалуйста вот еще что...
начал я вручную лазить по папкам, зашел на [FONT=Verdana][SIZE=2][COLOR=black][FONT='Times New Roman']C:\WINDOWS [/FONT][/COLOR]и нашел там несколько экзешных файлов с очень странными названиями, проверил их по ВирусТоталу, но толком что-то не понял... Вобщем вот это все добро:[/SIZE][/FONT]

1. [COLOR=black][FONT='Times New Roman'][FONT=Verdana][SIZE=2]C:\WINDOWS\[FONT='Times New Roman']rmdjetbu.exe[/FONT][/SIZE][/FONT][/FONT][/COLOR]
[COLOR=black][FONT='Times New Roman'][FONT='Times New Roman'][URL="http://www.virustotal.com/resultado.html?858f33baeeb9aa8dd27ef3568a31c9dc"][COLOR=#ff0000]http://www.virustotal.com/resultado.html?858f33baeeb9aa8dd27ef3568a31c9dc[/COLOR][/URL]
[/FONT][/FONT][/COLOR][COLOR=black][/COLOR]
[COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][FONT=Verdana][SIZE=2]2. C:\WINDOWS\wiecnauv.exe[/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR]
[COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][URL="http://www.virustotal.com/resultado.html?8cd11030c72f8d5e14f8fa5f9ac8394a"][COLOR=#ff0000]http://www.virustotal.com/resultado.html?8cd11030c72f8d5e14f8fa5f9ac8394a[/COLOR][/URL]
[/FONT][/COLOR][/FONT][/COLOR][COLOR=black][FONT='Times New Roman'][/FONT][/COLOR][COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][FONT=Verdana][SIZE=2]3. C:\WINDOWS\yechjyev.exe[/SIZE][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR]
[COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][URL="http://www.virustotal.com/resultado.html?84213df133475f8b8ee7de82bebc16c3"][COLOR=#ff0000]http://www.virustotal.com/resultado.html?84213df133475f8b8ee7de82bebc16c3[/COLOR][/URL]
[/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR][COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][/FONT][/COLOR][/FONT][/COLOR]
[COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman'][COLOR=black][FONT='Times New Roman']4. [COLOR=black]C:\WINDOWS\[FONT='Times New Roman'][FONT=Verdana][SIZE=2]wijwffrt[FONT='Times New Roman'].exe[/FONT][/SIZE][/FONT][/FONT][/COLOR]
[COLOR=black][FONT='Times New Roman'][FONT='Times New Roman'][FONT=Verdana][SIZE=2]а вот в этом файле пишет 0 бит объема и не грузит на сайт для проверки.[/SIZE][/FONT][/FONT][/FONT][/COLOR]
[COLOR=black][/COLOR]
[/FONT][/COLOR][/FONT][/COLOR][/FONT][/COLOR]

[size="1"][color="#666686"][B]Добавлено через 6 минут[/B][/color][/size]
упс... зашел только что в просмотр карантина, так там нет карнтина за 15 число (хотя я вчера его точно для drongo отправлял - и он выслался!!! он еще окло 8 метров весил), есть за 14 (там 4 файла в карантине armA54.tmp, thebat.exe.bak, msntuyap.exe и pragma.exe) и 16 (здесь только thebat.exe.bak).
16.07.2007, 15:40
PavelA

[QUOTE='punk_prankster;122959']armA54.tmp [/QUOTE]
интересен только этот файл. Очень хочется узнать, что это такэ.
16.07.2007, 15:55
punk_prankster

[quote=PavelA;122971]интересен только этот файл. Очень хочется узнать, что это такэ.[/quote]

карантин выслал, но там сам файл вроде ничего не весит...
16.07.2007, 17:10
PavelA

Он был за 15.07.2007
В том что прислали его нет

Пришлите за эту дату.
17.07.2007, 18:33
punk_prankster

[quote=PavelA;123002]Он был за 15.07.2007
В том что прислали его нет

Пришлите за эту дату.[/quote]

в то-то и дело, что в списке файлов нет файла за 15 число. а тот, что я высла, он его видит и архивирует, но рядом со словом размер стоит "0".
18.07.2007, 18:37
PavelA

[QUOTE='punk_prankster;122959']Вобщем вот это все добро:

1. C:\WINDOWS\rmdjetbu.exe
[url]http://www.virustotal.com/resultado.html?858f33baeeb9aa8dd27ef3568a31c9dc[/url]

2. C:\WINDOWS\wiecnauv.exe
[url]http://www.virustotal.com/resultado.html?8cd11030c72f8d5e14f8fa5f9ac8394a[/url]
3. C:\WINDOWS\yechjyev.exe
[url]http://www.virustotal.com/resultado.html?84213df133475f8b8ee7de82bebc16c3[/url]

4. C:\WINDOWS\wijwffrt.exe
а вот в этом файле пишет 0 бит объема и не грузит на сайт для проверки.[/QUOTE]

Загони их в карантин и пришли. Постарайся чтобы он был только с ними.
Результаты на [url]www.virustotal.com[/url] не сохраняются, надо их просто копировать в файл.
Кстати, если это добро живо, можешь проверить их еще разок на [url]www.virustotal.com[/url] и прислать отчет не ссылкой, а в виде текстового файла.
18.07.2007, 23:02
punk_prankster

[B][SIZE=2]Результат загрузки[/SIZE][/B]

Файл сохранён как 070718_230116_virus_469e637cd5e7d.zip

Размер файла 11957MD5d949a21c3bf3085a8c5a713cd8a89b84

в карантин загрузилось все, кроме файла из п.4. (тот, что ничего не весит)... может логи новые сделать?
19.07.2007, 14:27
punk_prankster

вот только что по ходу скана в АВЗ, что-то троянское убилось с С:\
В Hijack логе вроде чисто всё, покрайней мере я там ничего подозрительного не нашел. А вот АВЗшные проверьте, плиз.
20.07.2007, 16:49
PavelA

rmdjetbu.exe - Rustock.dam - по общим описаниям Downloader. Что-то загрузил и ушел в тину.
Остальные шифрованные, поэтому на них есть подозрения, что это вирусы.
Очень плохо, что все время залетает что-то новое. Надо поставить фаервалл и посмотреть откуда это. Может просто сайт, на который ты любишь ходить заражен?

Пиши адрес сайта, после посещения которого обнаруж. троянов. Аналитики посмотрят страничку.
20.07.2007, 21:02
punk_prankster

ok, как только, так сразу *обнаружится снова что-то*...
а вообще я проверил все сайты, по которым я стандартно хожу на он-лайн проверке сайта Др.ВЕБ

[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
кстати, хотел давно спросить: как-то можно посмотреть список посещенных страниц кроме традиционного способа в журнале, т.е. программки какие-то или еще что-то, только бесплатное :)