Показано с 1 по 15 из 15.

Заблокированные URL Антивирусом Касперского (заявка № 113500)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22

    Заблокированные URL Антивирусом Касперского

    Антивирус Касперского переодически выдаёт сообщение:
    "URL-адрес http://whoismistergreen.com/runk/c.php, содержащий вредоносную программу, запрещен"
    "URL-адрес http://patr1ckjane.com/runk/c.php, содержащий вредоносную программу, обнаружен",
    За последние 3 дня в сети уже 4 компьютера с подобными сообщениями.
    Касперский ничего не находит.
    Вложения Вложения
    Последний раз редактировалось Bratez; 07.12.2011 в 17:18. Причина: деактивировал ссылки

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) bari, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Логи выкладывал, когда программы запускались от имени локального администратора. А по моим наблюдениям сообщения о блокировке загрузки вредоносного ПО выскакивают исключительно от пользователя. (У нас домен). Помимо MBAM может стоит запустить AVZ и HiJackThis под пользователм и эти логи приложить?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Правильно думаете
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Логи AVZ и HijackThis выполненные под пользователем, под которым выскакивают вышеуказанные URL
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Лог MBAM выполненный под пользователем
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Уже пофиксил, результата нет. попытки открытия продолжаются. На другой машине в реестре данный ключ реестра имеет другое значение (ya.ru), однако попытки загрузки продолжаются. Странность: после удаления ключа реестра и перзагрузки в устройствах нашлось новое оборудование, но так как под пользователем его установить нельзя, висело под восклицательным знаком. Устройство в корне ROOT\уже не помню\набор букв. Удалил. Сделал принтскрин, но приложить не могу, так как уже дома. Попытался найти аналогичное устройство на другой машине (Safe mode, cmd, set devmgr_show_nonpresent_devices=1, devmgmt). Аналогии не нашел. Еще раз повторюсь, попытки загрузки продолжаются. Понять как - не могу. Указанные URL заблокированы мною на проксе. Есть предположение, что через контроллер домена... но там заблокировано все кроме VPN для удаленки. Запустил полную проверку и прокси (она на винде, ну.. так надо.. там KIS) и на контроллере домена.

    PS Ради эксперимента, на одной из зараженных машин обновил JAVA и Flash. В понедельник отпишусь по результатам.
    PSS Проверка и Контроллера и Прокси ничего не дала. Нашел собственный косяк, на внешнем интерфейсе домена нет фильтров по VPN. Точно помню, что создавал. В понедельник добавлю. Очевидно, что попытка загрузки вируса идет мимо прокси, через контроллер домена, хотя шлюзом является прокси, а контроллер только DNS. Вот тут что-то залип. Надо попробовать на локальной машине при отключенном прокси в интернет зайти. При текущих настройках, понимаю, что в любом случае пакеты пойдут через прокси, но каким образом при явном запрете в deny-листе загрузчик все-таки пытается вирус скачать????
    Последний раз редактировалось bari; 09.12.2011 в 22:20.

  11. #10
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Вот принтскрин найденного обрудования. URL продолжают вылезать.
    Изображения Изображения

  12. #11
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Последний DRweb обнаружил вредоносное ПО. Запускался в усиленном режиме. Папки карантина я не нашел. (Нет на диске папки Quarantine), есть только лог. Прикладываю.
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    Сделал
    Вложения Вложения

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Что с проблемой?

    Все, что было ошибочно удалено от 1С, восстановите так
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    07.12.2011
    Сообщений
    9
    Вес репутации
    22
    1c восстановил сразу. Проблема исчезла позавчера, после лечения последним DRWeb. К сожалению папки карантина он не создал (по непонятным причинам), но лог я выкладывал. Заражение, по моим предположениям, происходит через JAVA. Вместе с OpenOffice ставится старая версия (6.26), на всех машинах обновил до 6.29. Сначала закачивается файл типа 0.33629077985759337fdrgs.exe, потом происходит установка прав отладчика какому-то Bulge Palm Pencil. В итоге нашел в папке Application Data странную папку Microsoft Corporation со странным файлом внутри, который и удалил DRWeb. Сейчас наблюдаю. Пока - тишина. Касперским разочарован.

  • Уважаемый(ая) bari, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 0
      Последнее сообщение: 18.05.2012, 13:10
    2. Проблема с антивирусом Касперского 6.0.3. 8337
      От DopingPong в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 28.12.2010, 22:00
    3. Ответов: 1
      Последнее сообщение: 14.12.2010, 01:25
    4. Ответов: 6
      Последнее сообщение: 25.02.2010, 00:06
    5. Ответов: 7
      Последнее сообщение: 02.03.2005, 11:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00933 seconds with 17 queries