Показано с 1 по 16 из 16.

Троян серия вторая (или "И снова здравствуйте!") (заявка № 9931)

  1. #1
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98

    Троян серия вторая (или "И снова здравствуйте!")

    Не успел порадоватся удалению нечисти с домащнего компа, как на рабочем сел троян. Случайно обратил внимание на появившийся в корне С: файл 1.exe. Ну дело ясное.... удалил файл запустил AVZ.
    Троян (вроде PWS) Сейчас находит файл в system volyme с цифрами вместо имени.

    Выкладываю только логи AVZ, а завтра попробую на диске из дома принести.
    Последний раз редактировалось Not; 24.06.2007 в 14:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    находит файл в system volyme с цифрами вместо имени
    Пункт 7 правил забыли выполнить?

    Кроме Симантека, ничего вредоносного в логах не видно
    Может быть лог HijackThis что-нибудь прояснит. Ждем-с...
    I am not young enough to know everything...

  4. #3
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98
    Цитата Сообщение от Bratez Посмотреть сообщение
    Пункт 7 правил забыли выполнить?

    Кроме Симантека, ничего вредоносного в логах не видно
    Может быть лог HijackThis что-нибудь прояснит. Ждем-с...

    Так расстроился, что забыл про п.7...

    Симантек любят наши адМиНы.
    А файл в систем волюме AVZ же находил...???
    Последний раз редактировалось Not; 23.05.2007 в 10:57.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Лога Hijackthis не хватает - ждем с нетерпением, когда приложите.
    В логах AVZ ничего откровенно подозрительного нет. На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\M3_MPS~1.SCR','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=9931 , как написано в прил.3 правил. Странные у вас админы: закачивать ничего нельзя, а работать с правами администратора можно? В любом случае, если они (админы) есть, лучше бы им о нем (пойманном вирусе) сообщить. Раз вы можете работать с правами администратора, то сможете и отключить (временно) восстановление системы для очистки System Volume Information. И еще: Symantec антивирус стоит очень старый. Интересно, он как-нибудь обновляется? Если нет, то он, как минимум, бесполезен. Но с этим, повторяю, тоже должны разбираться ваши системные администраторы, раз уж они есть.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А файл в систем волюме AVZ же находил...???
    Дык отключите восстановление системы - и System Volume Information будет очищен.
    Для пущей уверенности выполните скрипт:
    Код:
    begin
    DeleteFile('C:\System Volume Information\_restore{5D67FA3B-46B0-46EB-B9AD-BC1A07FBA312}\RP283\A0051081.exe');
    end.
    В любом случае данный конкретный файл в деятельности ОС не участвует.
    I am not young enough to know everything...

  7. #6
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98
    Как ни странно у меня нет прав админа и комп ничего мне делать не дает. Про фирус вчера админу сказал сразу же но он ника не отреагировал (!!!) такие вот у нас админы. А с обновлением антивирусов мы говорили много много раз но.........


    Ура скачал! вот лог!
    Последний раз редактировалось Not; 24.06.2007 в 14:23.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Как же так?
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Это как получилось? А в логе Hijackthis тоже ничего подозрительного

  9. #8
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98
    Цитата Сообщение от Numb Посмотреть сообщение
    Как же так? Это как получилось? А в логе Hijackthis тоже ничего подозрительного

    Так это AVZ работает с правами администратора
    а я с ужатыми правами юзера (причем какого то низшего уровня) я даже не могу посмотреть какое оборудование в системе стоит и время на часах поменять

    Карантин прислал.

    Спасибо за помощь!!!!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Так это AVZ работает с правами администратора
    а я с ужатыми правами юзера
    Так может сделать в AVZ Файл - Восстановление системы - отметить п.6 - Выполнить. Глядишь и другие права прорежутся
    I am not young enough to know everything...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от Not Посмотреть сообщение
    Так это AVZ работает с правами администратора
    а я с ужатыми правами юзера
    Не пугайте меня - специально сейчас перепроверял, не пишет подобного AVZ при запуске под обычным пользователем, не появляются у него прав лишних самостоятельно. Попробуйте выполнить скрипт от Bratez - права, действительно, могут появиться. по загадочному файлу в System Volume Information вердикт с вирустотал
    Код:
    AntiVir    7.4.0.23    05.21.2007    HEUR/Crypted
    CAT-QuickHeal    9.00    05.21.2007    (Suspicious) - DNAScan
    eSafe    7.0.15.0    05.21.2007    Suspicious Trojan/Worm
    Fortinet    2.85.0.0    05.22.2007    suspicious
    Ikarus    T3.1.1.7    05.22.2007    Trojan-Downloader.Win32.Zlob
    Norman    5.80.02    05.21.2007    W32/Suspicious_U.gen
    Panda    9.0.0.4    05.21.2007    Suspicious file
    Sophos    4.17.0    05.21.2007    Mal/Packer
    VBA32    3.12.0    05.21.2007    suspected of Trojan-PSW.Pinch.65 (paranoid heuristics)
    Webwasher-Gateway    6.0.1    05.22.2007    Heuristic.Crypted
    - ждем ответа от лаборатории Касперского.
    Последний раз редактировалось Numb; 22.05.2007 в 11:08.

  12. #11
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98
    Цитата Сообщение от Numb Посмотреть сообщение
    Не пугайте меня - специально сейчас перепроверял, не пишет подобного AVZ при запуске под обычным пользователем, не появляются у него прав лишних самостоятельно. Попробуйте выполнить скрипт от Bratez - права, действительно, могут появиться. по загадочному файлу в System Volume Information вердикт с вирустотал
    Код:
    AntiVir    7.4.0.23    05.21.2007    HEUR/Crypted
    CAT-QuickHeal    9.00    05.21.2007    (Suspicious) - DNAScan
    ClamAV    devel-20070416    05.22.2007    no virus found
    eSafe    7.0.15.0    05.21.2007    Suspicious Trojan/Worm
    Fortinet    2.85.0.0    05.22.2007    suspicious
    F-Secure    6.70.13030.0    05.22.2007    no virus found
    Ikarus    T3.1.1.7    05.22.2007    Trojan-Downloader.Win32.Zlob
    Norman    5.80.02    05.21.2007    W32/Suspicious_U.gen
    Panda    9.0.0.4    05.21.2007    Suspicious file
    Sophos    4.17.0    05.21.2007    Mal/Packer
    VBA32    3.12.0    05.21.2007    suspected of Trojan-PSW.Pinch.65 (paranoid heuristics)
    Webwasher-Gateway    6.0.1    05.22.2007    Heuristic.Crypted
    - ждем ответа от лаборатории Касперского.
    Я не очень понял, что написано в табличке и какого ответа ждем от лаборатории?????? Пугаете Вы меня.....

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В табличке написано, что некоторые антивирусы детектят файл, как подозрительный. В лабораторию Касперского ваш карантин был отправлен. Вот их аналитики и будут решать, вирус это, или нет. В любом случае, если не выполняли, выполните скрипт от Bratez - http://virusinfo.info/showpost.php?p=111186&postcount=5 - на работоспособность системы удаление этого файла не повлияет.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    ответ:
    Здравствуйте,

    avz00001.dta - Trojan-Downloader.Win32.Small.dge

    Детектирование файла будет добавлено в следующее обновление.

    avz00002.dta,
    bcqr00003.dat,
    bcqr00004.dat

    Вредоносный код в файлах не обнаружен.

    Пожалуйста, при ответе включайте переписку целиком.

    --
    С уважением, Борис Ямпольский
    Вирусный аналитик Лаборатории Касперского.

  15. #14
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98
    Цитата Сообщение от Shu_b Посмотреть сообщение
    ответ:
    Не ну Вы меня совсе запутали!
    Написано, что троян а вредоносного кода нет..... это как?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от Not Посмотреть сообщение
    Не ну Вы меня совсе запутали!
    Написано, что троян а вредоносного кода нет..... это как?
    Троян обнаружен в avz00001.dta, остальные файлы чистые
    Left home for a few days and look what happens...

  17. #16
    Designer Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Not
    Регистрация
    16.05.2007
    Адрес
    Москва
    Сообщений
    276
    Вес репутации
    98
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Троян обнаружен в avz00001.dta, остальные файлы чистые
    Да понял я понял.
    Шутю я

    Спасиб всем!

    P.S. Кстати проблема решилась полностью........ наконец то сгорела материнка. Теперь у меня новый комп.

  • Уважаемый(ая) Not, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. злостный порнобанер, серия вторая.
      От siniypank в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.11.2009, 17:44
    3. Трояны и компания. Вторая серия.
      От Julia1404 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 29.06.2009, 02:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00888 seconds with 19 queries