Показано с 1 по 12 из 12.

сommon files - закрывает окошко обозревателя папок + эксплойт с неизвестного IP (заявка № 100884)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25

    Thumbs up сommon files - закрывает окошко обозревателя папок + эксплойт с неизвестного IP

    WinXP

    Гдето в течении 2-3 дней аваст начал блокировать некий сигнал как я понял из-вне (эксплойт с вот этого айпишника:79.163.117.143:135/tcp ; скриншот предупреждения от аваста прикреплен в конце). Я не придавал этому значения думал раз блокирует значит все нормально,но через некоторое время сайт vkontakte.ru начал у меня запрашивать телефон для валидации на странице с авторизацией и просил отправить им смс с кодом,типа анти-спам контроль... я чистил за день до этого комп ccleaner'ом и все пароли постирались, но я их помню естевственно,что меня впринципе очень озадачило и заставило отнестись к сей выходке от контакта не разумно (думаю контакт забыл меня что ли, не ужели ccleaner так мог отжеч).Но прикол в том, что для того что бы перейти в это окошко с вводом номера, абсолютно не требовалось заполнять поля с паролем или логином, а достаточно было просто нажимать кнопку "войти","забыли пароль" или "техподдержка",ну в общем любую кликабельную ссылку на мейн пейдже контакта.Погуглив сию проблему, я понял что ето уже клон сайт для буратин от вируса.Я скачал cureIT плюс почистил все авастом и смог заходить в итоге "вконтакт".После чего начал уже беспокоиться за свою систему,как я думал защишенную...

    Решил проверить автозагрузку через msconfig,но к моему удивлению кнопка пуск -> выполнить мгновенно пропадала, после ее нажатия... ну не сама кнопка, а панелька, где уже команды прописывать.Таким образом до автозагрузки я не добрался, и такое же было с папкой common files что в programm files - при дабл клике по ней она отображалась буквально секунду или менее и закрывалась полностью вместе с окошком обозревателя.Доступ ко внутренним файлам сей папки я мог обеспечить только через проводник, но опять же не линкуя в нем по самой папке common files иначе все закрывалось.

    И тут очередной раз приходит предупреждение от аваста об эксплойте с этого же айпи адреса.
    Я ради интереса в мозиле ввел етот ип без концовки /tcp у меня тут же,при чем само по себе, открылось окошко мини-поиска (ctrl+F) и в нем максимальное кол-во раз прописалось слово testtesttesttesttesttesttest (само по себе), кроме этого и пустого окна мозилы ничего не произошло.

    Обнаружил 2 левых процесса в диспечере (думаю они там были уже до момента ввода ип в браузере), которые восстанавливались при поппытке их удалить в нем и не удалялись в своих корневых папках даже анлокером :вот они - guardguard.exe и guardmailru.exe. Мейл агентом никогда не пользовался и не ставил на комп даже.

    После этого я начал чистить комп по-новой, скачав avz + regCleaner+убивая этих guardmailru.exe и guardguard.exe с помощью ProcessExplorer и SequrityTaskManager, и дополнительно запустив avast: у меня удалилось примерно 3-4 зловреда, я ребутнулся и начал проверять: пуск->выполнить работает не пропадает, и папка common files тоже открывается,но все быстро закончилось, когда я подключился к сети для выхода в интернет: буквально сразу начала пропадать при дабл клике папка с comm files, но пуск-выполнить остался исправен, и минут через 3-5 аваст снова выдал этот warn об эксплойте,с которого все и началось и я понял что не решил проблемы
    процессы guardguard.exe и guardmailru.exe. меня не беспокоили больше, пуск->выполнить работают исправно, но папка common files всё закрывает при попытке зайти в нее + постоянно приходит ворн от аваста об эксплойте с этого айпишника

    По сути много текста написал и все изза того что папка с common files, при попытке входа в нее,сразу закрывается вместе с окошком обозревателя.Но меня больше беспокоит этот ип с которого мне что то шлют или пытаются у меня что то скачать,и все в момент именно подключения к сети для выхода в интернет (через 1-2 мин), при этом браузер мог быть еще даже не открыт и не было перехода на какой либо из сайтов.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Цитата Сообщение от FXtrt Посмотреть сообщение
    прописалось слово testtesttesttesttesttesttest
    Работа AVZ по поиску кейлоггеров

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\program files\common files\service share\lsass.exe');
     QuarantineFile('c:\program files\common files\service share\lsass.exe','');
     DeleteFile('c:\program files\common files\service share\lsass.exe');
     DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
    DeleteFileMask('C:\Program Files\pchd', '*.*', true);
    DeleteDirectory('C:\Program Files\pchd');
    DeleteFileMask('C:\pchd', '*.*', true);
    DeleteDirectory('C:\pchd');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25
    вот появившиеся файлы из папки quarantine
    папка common files стала исправной и не было атаки с того айпишника,видимо проблема решена спасибо за помощь =)
    а я еще думаю что за второй процесс lsass обычно он 1 был но думаю мало ли как svchost по 5-6 штук =)
    Последний раз редактировалось thyrex; 17.04.2011 в 00:48.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте новые логи
    Где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25
    мне нужно еще раз сделать syscure syscheck и hjack.log архивы? вот тогда они. О нет опять атака с етого айпишника была, прям только что как собирался прикрепить файлы .... ((( папка common files исправна и не появился доп.процесс lsass но аваст опять закричал об эксплойте. и пару раз выскочила ошибка Generic Host Process for Win32 Services (svchost.exe , AcGenral.dll)
    Последний раз редактировалось FXtrt; 17.04.2011 в 21:25.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    Установите все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25
    В реестре первые 2 параметра для hijack были в норме, только 3 изменил: там был линк на мейл ру что то там... в общем исправил .Установил IE8 (как понял он что то просканировал на наличие вирусов) установился. Установил обновления (не перезагрузился).Установил MBAM,запустил полное сканирование и во время него аваст заорал о черве на MBAM вот прикрепил 4 скрина (по разному орал) может просто изза того что при сканировании как раз и находило этих червей с пом процесса mbam.exe,но вдруг важно.И атаки (эксплойт) начали идти с другого айпи(еще до скана MBAM) (прикрепил скрин)
    Прикрепил логи MBAM

    Могу ли я удалить или произвести инные действия с найдеными MBAM зловредами?


    и вот в конце еще 1 раз червя аваст спалил - что то новое
    http://img195.imageshack.us/f/newqs.jpg/
    Последний раз редактировалось FXtrt; 18.04.2011 в 09:01.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Удалите в МВАМ только указанные строки
    Код:
    Заражённые ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\fxtrt.counter-327b8e9\application data\Sun\Java\deployment\cache\6.0\8\2f7ded88-7034d775 (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\content.ie5\hij2cdn6\gilaiqsg[1].png (Worm.Downadup) -> No action taken.
    c:\program files\common files\service share\lsass.exex (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp376\a0100835.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp383\a0101356.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp383\a0101403.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25
    в общем у меня продолжаются атаки с какого то айпи + новый прикол заметил у меня запущен браузер мозила наприимер смотрю видео на ютубе и спонтанно открывается какая то рандомная страница интернет сайта в новой закладке ,и какие то сайты буд то навязывающие рекламу себя таким образом (все вышеперечисленное сделалал )

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,384
    Вес репутации
    3019
    Новый лог МВАМ где?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25
    Вот лог мбам, а так же 2 скрина:я проверил очередной раз систему авастом, он обнаружил 2 файла путь к которым он почему то не мог найти. Я их нашел и удалял вручную.Это были 2 из 3-ёх лишних процессов в диспечере под именами:
    10dde9.exe bc3ba_xp.exe, а так же процесс без имени (пустота перед расширением .exe) первые 2 я удалил с помощью виндоусовского поиска и анлокера, а вот последний сопротивлялся анлокеру там был еще конфиг файл в той же папке что и етот "exe без имени",конфиг удалил, а экзешник поместил в карантин и удалил из процессов с пом. security task managera после чего удалил вовсе. Первые 2 процесса я наблюдал, еще когда только писал первое сообщение Вам, они тогда пропали после ряда операций с avz, но откуда то взялись снова.Послежу за прогрессом может быть на этом все закончится отпишусь о результатах в течении дня

    скрины
    1)http://img215.imageshack.us/f/avast1p.jpg/
    2)http://img153.imageshack.us/f/avast2k.jpg/

  13. #12
    Junior Member Репутация
    Регистрация
    16.04.2011
    Сообщений
    11
    Вес репутации
    25
    до сих пор не было ни ворнов от аваста ни браузерных глюков с сайтами по ходу я разобрался с етими зловредами с вашей помощью

  • Уважаемый(ая) FXtrt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Документы в журнале обозревателя
      От Павлик в разделе Microsoft Windows
      Ответов: 0
      Последнее сообщение: 28.08.2009, 20:13
    2. Ответов: 4
      Последнее сообщение: 20.02.2009, 14:28
    3. Ответов: 3
      Последнее сообщение: 09.11.2008, 15:24
    4. Ответов: 3
      Последнее сообщение: 27.10.2008, 14:10
    5. Как запретить изменение свойств обозревателя
      От Mad Scientist в разделе Microsoft Windows
      Ответов: 3
      Последнее сообщение: 15.11.2007, 23:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00800 seconds with 16 queries