Junior Member
Вес репутации
57
Worm.Win32.Autoit.xl
Подскажите как отследить откуда лезет эта гадость Worm.Win32.Autoit.xl . На компьютерее ее вроде бы не обнаруживется, не нашел ни одного признака указанных на securelist.com. Переодически появляется в общих папках в которых открыт доступ на запись, хотелось бы както отловить IP и\или имя компа с которого все это лезет.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) UksusoFF , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте!!!
- Выполните в АВЗ:
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
end.
Windows у Вас какой?
Сделайте лог полного сканирования MBAM .
Junior Member
Вес репутации
57
MBAM в процессе
Windows 7 x64 Ultimate
Junior Member
Вес репутации
57
Вложения
Удалите в MBAM :
Код:
HKEY_CLASSES_ROOT\Typelib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SwordsAndSoldiers (Malware.Packer.Krunchy) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken.
Это все Ваше?
Код:
c:\pebuild\BartPE\Programs\MPR\HookLib.dll (PUP.Hooker) -> No action taken.
c:\pebuild\BartPE\Programs\MPR\MPR.exe (PUP.PasswordView) -> No action taken.
c:\pebuild\BartPE\Programs\MPR\mpr.exe.bak (PUP.PasswordView) -> No action taken.
c:\pebuild\BartPE\Programs\MPR\patch.exe (Malware.Packer.Gen) -> No action taken.
c:\pebuild\plugin\my_programms\!Pass\MPR\files\HookLib.dll (PUP.Hooker) -> No action taken.
c:\pebuild\plugin\my_programms\!Pass\MPR\files\MPR.exe (PUP.PasswordView) -> No action taken.
c:\pebuild\plugin\my_programms\!Pass\MPR\files\mpr.exe.bak (PUP.PasswordView) -> No action taken.
c:\pebuild\plugin\my_programms\!Pass\MPR\files\patch.exe (Malware.Packer.Gen) -> No action taken.
c:\pebuild\plugin\my_programms\OPERA\FILES\program\plugins\npdrmv2.dll (Trojan.FakeMS) -> No action taken.
c:\portable files\Coyote\Coyote.exe (Trojan.Agent) -> No action taken.
c:\portable files\Phoenix\Phx_data\postunpackadd\440\tf\AddOns\name_enabler.dll (Malware.UPX.Mod) -> No action taken.
c:\portable files\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
c:\portable files\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
c:\portable files\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken.
c:\portable files\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken.
c:\portable files\Phoenix\Phx_data\Res\Emus\Rev\AddOns\name_enabler.dll (Malware.UPX.Mod) -> No action taken.
c:\portable files\TheCalc\Numlock.dll (Trojan.Downloader) -> No action taken.
c:\program files\elcomsoft\advanced registry tracer\uninstall.exe (Malware.Packer.Gen) -> No action taken.
c:\program files (x86)\artisteer 2\bin\loader.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\program files (x86)\pegasys inc\tmpgenc authoring works 4\keygen.exe (Malware.Packer.Gen) -> No action taken.
c:\Users\UksusoFF\Desktop\Data\Data\passwordfox\passwordfox.exe (PUP.PSW.PassFox) -> No action taken.
c:\Users\UksusoFF\Desktop\phpbb\новая папка (2)\ntals.easy.button.and.menu.maker.pro.v2.1.0.12-crd\blumentals.easy.button.and.menu.maker.pro.v2.1.0.12-crd\cxx2787a\crd.exe (TheftMarker.Crude) -> No action taken.
Что с проблемой?
Junior Member
Вес репутации
57
Удалил, ничего не изменилось. Все-таки мне кажется что это не на моем компе вирус, а где-то в сети. Как бы можно отслеживать подключения к smb?
Да, там кейгены и просмотрщики паролей в основном.
Сообщение от
UksusoFF
Все-таки мне кажется что это не на моем компе вирус, а где-то в сети.
По-хорошему надо бы проверить все компьютеры в сети.
Сообщение от
UksusoFF
Как бы можно отслеживать подключения к smb?
Я не знаю, с этим не сталкивался. А у Вас системного администратора нет, который этим занимается?
Junior Member
Вес репутации
57
Сообщение от
Techno
По-хорошему надо бы проверить все компьютеры в сети.
Да все которые мои проверил.
Я не знаю, с этим не сталкивался. А у Вас системного администратора нет, который этим занимается?
да какой админ в локальной сетке
Думаю нужно как то промониторить какой-нибудь программкой Почитайте тут http://social.technet.microsoft.com/...a-14f8c148d37a
Junior Member
Вес репутации
57
Junior Member
Вес репутации
57
Код:
[12:11:03 30.09.11] [80.234.33.196] [запись] E:\!Copy2Me\wnwqac.exe
[12:11:03 30.09.11] [80.234.33.196] [запись] E:\!Copy2Me\wnwqac.exe
[12:11:14 30.09.11] [80.234.33.196] [N/A] E:\!Copy2Me\wnwqac.exe
[12:11:14 30.09.11] [80.234.33.196] [N/A] E:\!Copy2Me\wnwqac.exe
[12:11:14 30.09.11] [80.234.33.196] [N/A] E:\!Copy2Me\wnwqac.exe
[12:11:14 30.09.11] [80.234.33.196] [N/A] E:\!Copy2Me\wnwqac.exe
[12:11:14 30.09.11] [80.234.33.196] [R/W] E:\!Copy2Me\lad
[12:11:14 30.09.11] [80.234.33.196] [R/W] E:\!Copy2Me\lad
[12:11:14 30.09.11] [80.234.33.196] [N/A] E:\!Copy2Me\lad
[12:11:14 30.09.11] [80.234.33.196] [N/A] E:\!Copy2Me\lad
[12:11:16 30.09.11] [80.234.33.196] [запись] E:\Games\wnwqac.exe
[12:11:16 30.09.11] [80.234.33.196] [запись] E:\Games\wnwqac.exe
[12:11:27 30.09.11] [80.234.33.196] [N/A] E:\Games\wnwqac.exe
[12:11:27 30.09.11] [80.234.33.196] [N/A] E:\Games\wnwqac.exe
[12:11:27 30.09.11] [80.234.33.196] [N/A] E:\Games\wnwqac.exe
[12:11:27 30.09.11] [80.234.33.196] [N/A] E:\Games\wnwqac.exe
[12:11:27 30.09.11] [80.234.33.196] [R/W] E:\Games\lad
[12:11:27 30.09.11] [80.234.33.196] [R/W] E:\Games\lad
[12:11:28 30.09.11] [80.234.33.196] [N/A] E:\Games\lad
[12:11:28 30.09.11] [80.234.33.196] [N/A] E:\Games\lad
Красота! можно тему закрывать Еще раз спасибо
Сообщение от
UksusoFF
Красота! можно тему закрывать Еще раз спасибо
Да, неплохая программка Надо тоже попробовать
Проблемный компьютер лечить не будете?
Junior Member
Вес репутации
57
Сообщение от
Techno
Да, неплохая программка
Надо тоже попробовать
Проблемный компьютер лечить не будете?
это из сети провайдера, я уже настроил фаерволл чтобы не лезли оттуда.
Залез по тому IP, там оказался Adsl модем D-Link, я ему вместо логина для подключения к интернету теперь написал чтобы вирусы лечил
UPD: Кстати, последняя версия сабжа отказалась работать на Win 7 без постоянных вылетов. Связался с автором он посоветовал использовать 1.28.8 версию.