Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вредоносное ПО (заявка № 129748)

  1. #1
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41

    Вредоносное ПО

    Здравствуйте! Произошло следующее. На компьютер было установлено неизвестное ПО, не проверенное заранее антивирусом (если говорить по-простому - загрузили с сайта неизвестный файл с расширением .exe) и... кликнули по нему. Точно не помню сработал ли антивирус во время клика или нет. За некотрое время работы ПК по удаленному соединению кем-то была создана еще одна учетная запись, которая появилась на экране приветствия вместе с учетной записью пользователя, работающего за этим ПК, но только один раз (была замечена), далее - как обычно (Приветствие и сразу переход на рабочий стол работающего за этим ПК пользователя). Далее я обратил внимание на трафик. Сначала достаточно большие объемы были во входящем, затем через несколько месяцев - пошел исходящий. Именно пошел! Т.е. достаточно большие объемы пошли, возникло впечатление, что машина используется как хаб, хотя в то же время Сеть используется пользователем в основном для почты (небольшая переписка, текст) и небольшого веб-серфинга.
    Что еще можно сказать. Скорость подключения к Интернету стала равна нулю. Доступ в Интернет - Ethernet, через роутер. OC в момент заражения - Win XP Pro SP2.

    Выполненные действия:

    Естественно выполнялись различные сканирования на предмет обнаружения, а именно использовались: CureIt, AVP Tools, Kaspersky Rescue Disk (в загрузочном режиме), также использовались утилиты AVZ и Hijack This. Также сканирование проводилось в Безопасном режиме. Данные программы вредоносного ПО не обнаружили.
    Далее.
    HDD = 80 Гб, вначале заражения - не размечен;
    Далее выполнил частичную переустановку ОС - не помогло;
    Создал на диске новый раздел на 15 Гб, выполнил форматирование данного раздела в NTFS;
    В новый отформатированный раздел установил заново ОС Win XP Pro SP3. Поставил драйвер видеокарты.
    Затем установил Антивирус Касперского 2009.
    Подключил патч-корд к роутеру, в трее значок показывает, что соединение имеется, в Свойствах соединения информация о подключении присутствует.

    На данный момент:
    При запуске IE страницы не загружаются. Будто отсутствует доступ.
    Антивирус также не может обновиться (средняя скорость - 0 байт/сек).
    Т.е. получается фактически доступ в Сеть как таковой отсутствует.

    В принципе пока все. Если будут нужны доп. ответы - готов ответить.

    Лог от AVZ во вложении.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) Evgeny D, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Сделайте логи по правилам (раздел диагностика п.1-3)


  5. #4
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    Хорошо, выполню.

  6. #5
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    Выполнил логи.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406


  8. #7
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    Выполняется.

  9. #8
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    роутер с компьютера пингуется ? Меню Пуск - выполнить - cmd - ping адрес роутера.

  10. #9
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    Выполнил проверку при помощи MBAM. На разделе С винчестера (65 Гб) в папке Софт имелась небольшая папка Cracks, в которой было несколько патчей для Windows, которые ранее не использовались. Также в этой папке находилось еще около десяти кейгенов для различных программ, которые также не использовались. При проверке данной папки антивирусом программ, как вредоносных детектировано не было. При проверке HDD утилитой MBAM кейгены и патчи были детектированы как различные троянские или шпионские модули. Сделав бэкап данной папки Cracks, позднее удалил ее с жесткого диска, так как она не использовалась. В отчете MBAM по поводу каких-либо подозрительных файлов записано два пункта.

    Далее.
    роутер с компьютера пингуется ? Меню Пуск - выполнить - cmd - ping адрес роутера.
    Не пробовал. Отключал роутер от питания, затем включал - на мониторе в трее как обычно появилась пиктограмма подключения к Сети, указаны адреса.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Evgeny D Посмотреть сообщение
    Не пробовал.
    Попробуйте.
    Зловредов в логах не видно.

    И еще:
    В командной строке, по очереди, выполните 2 команды:
    Код:
    ping yandex.ru
    ping 87.250.250.11 -l 15000


  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    При дальнейшем осмотре также увидел папки доп. учетных записей (в разделе Documents and Settings), папки были скрытыми, также как уже упоминал выше была создана учетная запись с именем Adminestrator (заметил). Также в свойствах HDD был разрешен общий доступ, кол-во пользователей - максимально возможное. Сдается такое впечатление, что с данным ПК просто кто-то работал удаленно. По крайней мере действия, которые я описываю происходили не сразу. Если же вернуть на место измененный параметр, то как правило - либо выскакивала ошибка, либо служба удалена, также в Центре обеспечения безопасности Windows указывалось на то, что антивирус отключен. В папке Documents and Settings помимо default user и собственно пользовательских учеток и администратора с гостем есть три скрытые неудаляемые учетки, что-то типа Network Assistant.

  14. #12
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    В меню Пуск - выполнить - control userpasswords2 (сделайте скриншот получившегося окна) прикрепите к теме.

    В меню Пуск - выполнить - regedit - ветвь реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t
    в меню regedit Файл - Экспорт - присвойте имя файлу (произвольно) прикрепите файл к следующему сообщению, предварительно заархивировав его в rar/zip

    Сделайте логи RSIT

  15. #13
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    1.
    В командной строке, по очереди, выполните 2 команды:
    Код:
    ping yandex.ru
    ping 87.250.250.11 -l 15000
    Выполнил. Скрины прилагаю. (2)

    2.
    mrak74
    В меню Пуск - выполнить - control userpasswords2 (сделайте скриншот получившегося окна) прикрепите к теме.

    В меню Пуск - выполнить - regedit - ветвь реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t

    В меню regedit Файл - Экспорт - присвойте имя файлу (произвольно) прикрепите файл к следующему сообщению, предварительно заархивировав его в rar/zip
    Выполнил. Скрины прилагаю.

    3.
    Сделайте логи RSIT
    RSIT при подключенной Сети зависал (скрин 5). Пришлось завершать аварийно. При отсутствии сети - сканировал без зависаний.

  16. #14
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Учетная запись Мой компьютер (1), на одном из скриншотов Вам знакома ? Посмотрите в списке учетных записей Мой компьютер (правой кнопкой мыши) - Управление - Локальные пользователи и группы - Пользователи, есть ли там такая учётная запись ? Хотя подобное возможно при попытке переименовать существующую учетную запись. Подозрительного я не обнаружил.

  17. #15
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    При установке в раздел с 15 Гб операционной системы Win XP Pro SP3 я создал УЗ с именем Мой компьютер (1). Так что с этой УЗ все верно. А вот на второй половине диска (оставшиеся 65 Гб) - вот там в основном. Да, и еще хочу обратить внимание на то, что, когда на той половине загружал XP Home, в обычной УЗ (показывать скрытые файлы) эти папки отображались, при смене пользователя с дальнейшем переходом в УЗ Администратора - уже не наблюдались. Т.е. в когда в Администраторе - то не видно. Вот в чем фишка. Также папки наблюдаются при загрузке дистрибутива Win PE (с CD).
    В Сеть по-прежнему нет доступа.

  18. #16
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    В Сеть по-прежнему нет доступа.
    В меню пуск - выполнить - cmd -
    Код:
    ipconfig /all > C:\1.txt
    полученный файл 1.txt из корня диска С приложите к следующему сообщению.

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Провайдеру скажите, что у Вас потери пакетов.


  20. #18
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    Посмотрел еще раз, проверил - проблема подключения к Сети оказалась на аппаратном уровне. Исправил - доступ в Сеть есть.

    По поводу "невидимых папок" - выполню завтра. Также как писал выше - видны при загрузке с CD (Win Pe, uVS), стандартными средствами Windows не определяются.
    Вот еще. Посмотрите - http://narod.ru/disk/65277895001.d62...D1%80.rar.html

  21. #19
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    Посмотрел еще раз, проверил - неисправность подключения к Сети возникла на аппаратном уровне. Устранил. Доступ в Сеть есть.

    По поводу "невидимых папок" - еще раз посмотрю завтра. Как и писал выше, опр-ся в режиме загрузки с CD (Win Pe, uVS). Стандартными средствами Windows не определяется.

    Вот еще - http://narod.ru/disk/65277895001.d62...D1%80.rar.html

  22. #20
    Junior Member Репутация
    Регистрация
    04.01.2013
    Адрес
    Russia
    Сообщений
    36
    Вес репутации
    41
    По поводу "невидимых папок" - еще раз посмотрю завтра.
    Прилагаю скрин. Было несколько учетных записей типа NetworkService.Authority.

    - - - Добавлено - - -

    Также наблюдались отключения антивируса и брандмауэра (стандартный Win).

  • Уважаемый(ая) Evgeny D, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Skymonk. Вредоносное ПО?
      От Oleh Onyschuk в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.12.2011, 00:20
    2. Что-то вредоносное
      От fronter в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.12.2010, 14:09
    3. Вредоносное ПО
      От Антипин Олег в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.05.2009, 09:34
    4. Есть ли что то вредоносное?!
      От SerZH в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.04.2009, 19:58
    5. Вредоносное ПО
      От zordrack в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.11.2007, 13:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00494 seconds with 17 queries