-
Троян серия вторая (или "И снова здравствуйте!")
Не успел порадоватся удалению нечисти с домащнего компа, как на рабочем сел троян. Случайно обратил внимание на появившийся в корне С: файл 1.exe. Ну дело ясное.... удалил файл запустил AVZ.
Троян (вроде PWS) Сейчас находит файл в system volyme с цифрами вместо имени.
Выкладываю только логи AVZ, а завтра попробую на диске из дома принести.
Последний раз редактировалось Not; 24.06.2007 в 14:23.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
находит файл в system volyme с цифрами вместо имени
Пункт 7 правил забыли выполнить?
Кроме Симантека, ничего вредоносного в логах не видно
Может быть лог HijackThis что-нибудь прояснит. Ждем-с...
I am not young enough to know everything...
-
-
Сообщение от
Bratez
Пункт 7 правил забыли выполнить?
Кроме Симантека, ничего вредоносного в логах не видно
Может быть лог HijackThis что-нибудь прояснит. Ждем-с...
Так расстроился, что забыл про п.7...
Симантек любят наши адМиНы.
А файл в систем волюме AVZ же находил...???
Последний раз редактировалось Not; 23.05.2007 в 10:57.
-
-
Лога Hijackthis не хватает - ждем с нетерпением, когда приложите.
В логах AVZ ничего откровенно подозрительного нет. На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\M3_MPS~1.SCR','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=9931 , как написано в прил.3 правил. Странные у вас админы: закачивать ничего нельзя, а работать с правами администратора можно? В любом случае, если они (админы) есть, лучше бы им о нем (пойманном вирусе) сообщить. Раз вы можете работать с правами администратора, то сможете и отключить (временно) восстановление системы для очистки System Volume Information. И еще: Symantec антивирус стоит очень старый. Интересно, он как-нибудь обновляется? Если нет, то он, как минимум, бесполезен. Но с этим, повторяю, тоже должны разбираться ваши системные администраторы, раз уж они есть.
-
-
А файл в систем волюме AVZ же находил...???
Дык отключите восстановление системы - и System Volume Information будет очищен.
Для пущей уверенности выполните скрипт:
Код:
begin
DeleteFile('C:\System Volume Information\_restore{5D67FA3B-46B0-46EB-B9AD-BC1A07FBA312}\RP283\A0051081.exe');
end.
В любом случае данный конкретный файл в деятельности ОС не участвует.
I am not young enough to know everything...
-
-
Как ни странно у меня нет прав админа и комп ничего мне делать не дает. Про фирус вчера админу сказал сразу же но он ника не отреагировал (!!!) такие вот у нас админы. А с обновлением антивирусов мы говорили много много раз но.........
Ура скачал! вот лог!
Последний раз редактировалось Not; 24.06.2007 в 14:23.
-
-
Как же так?
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Это как получилось? А в логе Hijackthis тоже ничего подозрительного
-
-
Сообщение от
Numb
Как же так? Это как получилось? А в логе Hijackthis тоже ничего подозрительного
Так это AVZ работает с правами администратора
а я с ужатыми правами юзера (причем какого то низшего уровня) я даже не могу посмотреть какое оборудование в системе стоит и время на часах поменять
Карантин прислал.
Спасибо за помощь!!!!
-
-
Так это AVZ работает с правами администратора
а я с ужатыми правами юзера
Так может сделать в AVZ Файл - Восстановление системы - отметить п.6 - Выполнить. Глядишь и другие права прорежутся
I am not young enough to know everything...
-
-
Сообщение от
Not
Так это AVZ работает с правами администратора
а я с ужатыми правами юзера
Не пугайте меня - специально сейчас перепроверял, не пишет подобного AVZ при запуске под обычным пользователем, не появляются у него прав лишних самостоятельно. Попробуйте выполнить скрипт от Bratez - права, действительно, могут появиться. по загадочному файлу в System Volume Information вердикт с вирустотал
Код:
AntiVir 7.4.0.23 05.21.2007 HEUR/Crypted
CAT-QuickHeal 9.00 05.21.2007 (Suspicious) - DNAScan
eSafe 7.0.15.0 05.21.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 05.22.2007 suspicious
Ikarus T3.1.1.7 05.22.2007 Trojan-Downloader.Win32.Zlob
Norman 5.80.02 05.21.2007 W32/Suspicious_U.gen
Panda 9.0.0.4 05.21.2007 Suspicious file
Sophos 4.17.0 05.21.2007 Mal/Packer
VBA32 3.12.0 05.21.2007 suspected of Trojan-PSW.Pinch.65 (paranoid heuristics)
Webwasher-Gateway 6.0.1 05.22.2007 Heuristic.Crypted
- ждем ответа от лаборатории Касперского.
Последний раз редактировалось Numb; 22.05.2007 в 11:08.
-
-
Сообщение от
Numb
Не пугайте меня - специально сейчас перепроверял, не пишет подобного AVZ при запуске под обычным пользователем, не появляются у него прав лишних самостоятельно. Попробуйте выполнить скрипт от Bratez - права, действительно, могут появиться. по загадочному файлу в System Volume Information вердикт с вирустотал
Код:
AntiVir 7.4.0.23 05.21.2007 HEUR/Crypted
CAT-QuickHeal 9.00 05.21.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.22.2007 no virus found
eSafe 7.0.15.0 05.21.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 05.22.2007 suspicious
F-Secure 6.70.13030.0 05.22.2007 no virus found
Ikarus T3.1.1.7 05.22.2007 Trojan-Downloader.Win32.Zlob
Norman 5.80.02 05.21.2007 W32/Suspicious_U.gen
Panda 9.0.0.4 05.21.2007 Suspicious file
Sophos 4.17.0 05.21.2007 Mal/Packer
VBA32 3.12.0 05.21.2007 suspected of Trojan-PSW.Pinch.65 (paranoid heuristics)
Webwasher-Gateway 6.0.1 05.22.2007 Heuristic.Crypted
- ждем ответа от лаборатории Касперского.
Я не очень понял, что написано в табличке и какого ответа ждем от лаборатории?????? Пугаете Вы меня.....
-
-
В табличке написано, что некоторые антивирусы детектят файл, как подозрительный. В лабораторию Касперского ваш карантин был отправлен. Вот их аналитики и будут решать, вирус это, или нет. В любом случае, если не выполняли, выполните скрипт от Bratez - http://virusinfo.info/showpost.php?p=111186&postcount=5 - на работоспособность системы удаление этого файла не повлияет.
-
-
ответ:
Здравствуйте,
avz00001.dta - Trojan-Downloader.Win32.Small.dge
Детектирование файла будет добавлено в следующее обновление.
avz00002.dta,
bcqr00003.dat,
bcqr00004.dat
Вредоносный код в файлах не обнаружен.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Борис Ямпольский
Вирусный аналитик Лаборатории Касперского.
-
-
Сообщение от
Shu_b
ответ:
Не ну Вы меня совсе запутали!
Написано, что троян а вредоносного кода нет..... это как?
-
-
Сообщение от
Not
Не ну Вы меня совсе запутали!
Написано, что троян а вредоносного кода нет..... это как?
Троян обнаружен в avz00001.dta, остальные файлы чистые
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Троян обнаружен в avz00001.dta, остальные файлы чистые
Да понял я понял.
Шутю я
Спасиб всем!
P.S. Кстати проблема решилась полностью........ наконец то сгорела материнка. Теперь у меня новый комп.
-