-
Junior Member
- Вес репутации
- 48
сommon files - закрывает окошко обозревателя папок + эксплойт с неизвестного IP
WinXP
Гдето в течении 2-3 дней аваст начал блокировать некий сигнал как я понял из-вне (эксплойт с вот этого айпишника:79.163.117.143:135/tcp ; скриншот предупреждения от аваста прикреплен в конце). Я не придавал этому значения думал раз блокирует значит все нормально,но через некоторое время сайт vkontakte.ru начал у меня запрашивать телефон для валидации на странице с авторизацией и просил отправить им смс с кодом,типа анти-спам контроль... я чистил за день до этого комп ccleaner'ом и все пароли постирались, но я их помню естевственно,что меня впринципе очень озадачило и заставило отнестись к сей выходке от контакта не разумно (думаю контакт забыл меня что ли, не ужели ccleaner так мог отжеч).Но прикол в том, что для того что бы перейти в это окошко с вводом номера, абсолютно не требовалось заполнять поля с паролем или логином, а достаточно было просто нажимать кнопку "войти","забыли пароль" или "техподдержка",ну в общем любую кликабельную ссылку на мейн пейдже контакта.Погуглив сию проблему, я понял что ето уже клон сайт для буратин от вируса.Я скачал cureIT плюс почистил все авастом и смог заходить в итоге "вконтакт".После чего начал уже беспокоиться за свою систему,как я думал защишенную...
Решил проверить автозагрузку через msconfig,но к моему удивлению кнопка пуск -> выполнить мгновенно пропадала, после ее нажатия... ну не сама кнопка, а панелька, где уже команды прописывать.Таким образом до автозагрузки я не добрался, и такое же было с папкой common files что в programm files - при дабл клике по ней она отображалась буквально секунду или менее и закрывалась полностью вместе с окошком обозревателя.Доступ ко внутренним файлам сей папки я мог обеспечить только через проводник, но опять же не линкуя в нем по самой папке common files иначе все закрывалось.
И тут очередной раз приходит предупреждение от аваста об эксплойте с этого же айпи адреса.
Я ради интереса в мозиле ввел етот ип без концовки /tcp у меня тут же,при чем само по себе, открылось окошко мини-поиска (ctrl+F) и в нем максимальное кол-во раз прописалось слово testtesttesttesttesttesttest (само по себе), кроме этого и пустого окна мозилы ничего не произошло.
Обнаружил 2 левых процесса в диспечере (думаю они там были уже до момента ввода ип в браузере), которые восстанавливались при поппытке их удалить в нем и не удалялись в своих корневых папках даже анлокером :вот они - guardguard.exe и guardmailru.exe. Мейл агентом никогда не пользовался и не ставил на комп даже.
После этого я начал чистить комп по-новой, скачав avz + regCleaner+убивая этих guardmailru.exe и guardguard.exe с помощью ProcessExplorer и SequrityTaskManager, и дополнительно запустив avast: у меня удалилось примерно 3-4 зловреда, я ребутнулся и начал проверять: пуск->выполнить работает не пропадает, и папка common files тоже открывается,но все быстро закончилось, когда я подключился к сети для выхода в интернет: буквально сразу начала пропадать при дабл клике папка с comm files, но пуск-выполнить остался исправен, и минут через 3-5 аваст снова выдал этот warn об эксплойте,с которого все и началось и я понял что не решил проблемы
процессы guardguard.exe и guardmailru.exe. меня не беспокоили больше, пуск->выполнить работают исправно, но папка common files всё закрывает при попытке зайти в нее + постоянно приходит ворн от аваста об эксплойте с этого айпишника
По сути много текста написал и все изза того что папка с common files, при попытке входа в нее,сразу закрывается вместе с окошком обозревателя.Но меня больше беспокоит этот ип с которого мне что то шлют или пытаются у меня что то скачать,и все в момент именно подключения к сети для выхода в интернет (через 1-2 мин), при этом браузер мог быть еще даже не открыт и не было перехода на какой либо из сайтов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
FXtrt
прописалось слово testtesttesttesttesttesttest
Работа AVZ по поиску кейлоггеров
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\service share\lsass.exe');
QuarantineFile('c:\program files\common files\service share\lsass.exe','');
DeleteFile('c:\program files\common files\service share\lsass.exe');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
DeleteFileMask('C:\pchd', '*.*', true);
DeleteDirectory('C:\pchd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
вот появившиеся файлы из папки quarantine
папка common files стала исправной и не было атаки с того айпишника,видимо проблема решена спасибо за помощь =)
а я еще думаю что за второй процесс lsass обычно он 1 был но думаю мало ли как svchost по 5-6 штук =)
Последний раз редактировалось thyrex; 17.04.2011 в 01:48.
-
Сообщение от
thyrex
Сделайте новые логи
Где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
мне нужно еще раз сделать syscure syscheck и hjack.log архивы? вот тогда они. О нет опять атака с етого айпишника была, прям только что как собирался прикрепить файлы .... ((( папка common files исправна и не появился доп.процесс lsass но аваст опять закричал об эксплойте. и пару раз выскочила ошибка Generic Host Process for Win32 Services (svchost.exe , AcGenral.dll)
Последний раз редактировалось FXtrt; 17.04.2011 в 22:25.
-
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
В реестре первые 2 параметра для hijack были в норме, только 3 изменил: там был линк на мейл ру что то там... в общем исправил .Установил IE8 (как понял он что то просканировал на наличие вирусов) установился. Установил обновления (не перезагрузился).Установил MBAM,запустил полное сканирование и во время него аваст заорал о черве на MBAM вот прикрепил 4 скрина (по разному орал) может просто изза того что при сканировании как раз и находило этих червей с пом процесса mbam.exe,но вдруг важно.И атаки (эксплойт) начали идти с другого айпи(еще до скана MBAM) (прикрепил скрин)
Прикрепил логи MBAM
Могу ли я удалить или произвести инные действия с найдеными MBAM зловредами?
и вот в конце еще 1 раз червя аваст спалил - что то новое
http://img195.imageshack.us/f/newqs.jpg/
Последний раз редактировалось FXtrt; 18.04.2011 в 10:01.
-
Удалите в МВАМ только указанные строки
Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\fxtrt.counter-327b8e9\application data\Sun\Java\deployment\cache\6.0\8\2f7ded88-7034d775 (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\networkservice.nt authority\local settings\temporary internet files\content.ie5\hij2cdn6\gilaiqsg[1].png (Worm.Downadup) -> No action taken.
c:\program files\common files\service share\lsass.exex (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp376\a0100835.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp383\a0101356.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{9ff9d4b0-b969-42b4-a54c-91e9cd0e3a1f}\rp383\a0101403.exe (Spyware.Passwords.XGen) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
в общем у меня продолжаются атаки с какого то айпи + новый прикол заметил у меня запущен браузер мозила наприимер смотрю видео на ютубе и спонтанно открывается какая то рандомная страница интернет сайта в новой закладке ,и какие то сайты буд то навязывающие рекламу себя таким образом (все вышеперечисленное сделалал )
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Вот лог мбам, а так же 2 скрина:я проверил очередной раз систему авастом, он обнаружил 2 файла путь к которым он почему то не мог найти. Я их нашел и удалял вручную.Это были 2 из 3-ёх лишних процессов в диспечере под именами:
10dde9.exe bc3ba_xp.exe, а так же процесс без имени (пустота перед расширением .exe) первые 2 я удалил с помощью виндоусовского поиска и анлокера, а вот последний сопротивлялся анлокеру там был еще конфиг файл в той же папке что и етот "exe без имени",конфиг удалил, а экзешник поместил в карантин и удалил из процессов с пом. security task managera после чего удалил вовсе. Первые 2 процесса я наблюдал, еще когда только писал первое сообщение Вам, они тогда пропали после ряда операций с avz, но откуда то взялись снова.Послежу за прогрессом может быть на этом все закончится отпишусь о результатах в течении дня
скрины
1)http://img215.imageshack.us/f/avast1p.jpg/
2)http://img153.imageshack.us/f/avast2k.jpg/
-
Junior Member
- Вес репутации
- 48
до сих пор не было ни ворнов от аваста ни браузерных глюков с сайтами по ходу я разобрался с етими зловредами с вашей помощью