Есть подозрение...

Printable View

12.10.2010, 21:03
Postscripter

Есть подозрение...

Не то чтобы "Помогите! :sos:"... :) Просто не могу разобраться - кто виноват - вирус или виндус? Они так похожи... В общем, появились некоторые странности:

- дважды за неделю в temp-e обнаруживался и удалялся exploit.java.agent.ea,

- ПОСЛЕ воспроизведения в media player classic интернет-потока с сайта mms://live.rfn.ru/orfey/ касперский каждый раз ругается на вредоносный объект по адресу :http:/orfey/ (в отчёте фигурирует также *.google.com.bokae.cn и сам плеер).

Ну и самое интересное... через секунду после запуска прячется (и остаётся висеть в процессах) drWeb CureIT, работающий в режиме усиленной :094: защиты. Будучи запущенным непосредственно из temp-a или в безопасном режиме, ничего не находит. К чему бы это?
13.10.2010, 17:09
Postscripter

UP! [COLOR="Silver"]И тигры у ног моих сели...[/COLOR]

Обновил джаву-машину. На всякий случай.
drweb касперский avz autoruns procexp = чисто
RootkitRevealer запускать влом...
Малварбайт нашёл чего-то, но я ему не верю. Прикладываю отчёт и карантин
16.10.2010, 00:16
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url]
[CODE]Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.[/CODE]
17.10.2010, 11:45
Postscripter

Ключ userinit.exe пустой... удалил всё равно.
Visicom media - производитель программы AceHTML, которой я пользуюсь постоянно. На кой его удалять? Прикладываю ветку реестра HKEY_CURRENT_USER\Software\Visicom Media
17.10.2010, 12:02
Postscripter

Кстати, забыл добавить. Вчера пропал симптом №2 (из первого сообщения). Media player classic перестал (failed to render the file) открывать адрес mms://live.rfn.ru/orfey/ и следолвательно касперский больше не ругается. Воспроизводится поток исключительно через GOM-player, при этом срабатываний не происходит.

Доктор веб по-прежнему прячется в обычном режиме и ничего не находит в безопасном.
18.10.2010, 21:46
Postscripter

всё понятно... :вздыхает:
21.10.2010, 18:58
Postscripter

Ау... Где же все?

Вот опять сегодня, во время быстрой проверки:

C:\Temp\jar_cache6869250394654908628.tmp/Chat7b77918.class

(Trojan-Downloader/Java/OpenConnection.db)

а также
C:\Temp\jar_cache3212186188025062436.tmp
C:\Temp\jar_cache5634364160136758825.tmp
C:\Temp\jar_cache6869250394654908628.tmp
C:\Temp\jar_cache6986837167738635849.tmp
C:\Temp\jar_cache7001934757699548717.tmp
C:\Temp\jar_cache7276913742875541956.tmp

Неужели здесь нет никого?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Половина не определяется антивирусом. Высылаю по ссылке вверху.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 38 минут[/I][/B][/color][/size]

Проверил - вирусы (иногда не детектируемые) появляется при заходе на сайт

хттп://aforizer.com/lego.php?pageid=282&cat=read

При этом касперский блокирует загрузку вредоносного php скрипта

хттп://aa1910dcvs.com/s4/jlfqxsgtcldqkrkmjnh.php

, но джава-машина всё равно запускается с ключом

"C:\Program Files\Java\jre6\bin\java.exe" -D__jvm_launched=31222599858 -Xbootclasspath/a:C:\PROGRA~1\Java\jre6\lib\deploy.jar;C:\PROGRA~1\Java\jre6\lib\javaws.jar;C:\PROGRA~1\Java\jre6\lib\plugin.jar -Djava.class.path=C:\PROGRA~1\Java\jre6\classes -Dsun.awt.warmup=true sun.plugin2.main.client.PluginMain write_pipe_name=jpi2_pid5288_pipe2,read_pipe_name=jpi2_pid5288_pipe1

И в это же самое время опера предлагает сохранить какой-то pdf файл, вероятно тоже заражённый.

Написал на newvirus, но ответа пока нет. Скажите же наконец, чем меня заразили и как это лечить?
22.10.2010, 21:45
thyrex

Кэш Java очистите
22.10.2010, 22:56
Postscripter

Да, уже. Всё равно появляется, в частности после захода на вышеупомянутый сайт, который ДО СИХ ПОР отсутствует в базах касперского

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И доктор, который веб, не пашет. Как будто ему по таймеру каждые 2 секeнды делают showwindow(drweb,sw_hide);

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

вирус, если таковой и есть, я думаю выполнен в виде dll-ки, подрубающейся к оконным приложениям - если закрыть всё кроме консоли, cureIT работает и не отключается. Потом запускаю проводник - и тоже всё хорошо. Перезагружаю комп - начинается сначала. И пока не будет закрыто последнее окно в систме, DrWeb висит в памяти трупом.

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

Запустил rootkit revealer. Насторожило следующее:

HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C0DCEB1F-C04F-0E01-CBFA-251058FE17DB}* 27.02.2010 4:04 0 bytes Key name contains embedded nulls (*)

HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C6FF4DF5-66BB-4299-B1DC-A1E7449176BF}* 15.09.2010 14:17 0 bytes Key name contains embedded nulls (*)

HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FD5664AD-29B3-B370-258A-A4978A59864F}* 27.02.2010 3:58 0 bytes Key name contains embedded nulls (*)

Пытался прочитать через IceSword, но он моментально выдал синий экран
24.10.2010, 22:32
Postscripter

[size="1"][color="#666686"][B][I]решено[/I][/B][/color][/size]

хахаах... Вы когда-нибудь сталкивались с таким - [B][COLOR="DarkRed"]антивирусу мешает работать mail agent[/COLOR][/B]... :mosking: Закрываю - работает, открываю - не работает :L Накой ему это надо?
25.10.2010, 22:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\новая папка\\jar_cache3212186188025062436.tmp - [B]Exploit.Java.Agent.en[/B] ( DrWEB: archive: Java.Siggen.29 )[*] \\новая папка\\jar_cache5634364160136758825.tmp - [B]Exploit.Java.Agent.en[/B] ( DrWEB: archive: Java.Siggen.29 )[*] \\новая папка\\jar_cache6869250394654908628.tmp - [B]Trojan-Downloader.Java.OpenConnection.bf[/B] ( DrWEB: archive: Java.Downloader.127 )[*] \\новая папка\\jar_cache6986837167738635849.tmp - [B]Trojan-Downloader.Java.OpenStream.ax[/B] ( DrWEB: archive: Java.Downloader.125 )[*] \\новая папка\\jar_cache7001934757699548717.tmp - [B]Trojan-Downloader.Java.OpenStream.ax[/B] ( DrWEB: archive: Java.Downloader.125 )[*] \\новая папка\\jar_cache7276913742875541956.tmp - [B]Trojan-Downloader.Java.OpenConnection.bf[/B] ( DrWEB: archive: Java.Downloader.127 )[/LIST][/LIST]