Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

новый (?) вирус, рассылающий рекламу, KAV пока не ловит. (заявка № 12993)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38

    Exclamation новый (?) вирус, рассылающий рекламу, KAV пока не ловит.

    у нас с содедями сеть и интернет через adsl. Доступ _тупо_ через шлюз, и однажды я заметил, что
    соседский комп генерирует исходящий трафик на весь канал (128к), хотя девочка сидела только в аське...
    можете себе представить сколько мб утелко в сеть....

    поскольку средствами adsl модема не удалось ничего выяснить пришлось поставить commview, сменить
    мой ip на ip шлюза и узреть тысячи попыток подцепиться к различным smtp серверам и отправку вот
    например такого

    Пакет #870, Направление: Вход., Время: 23:33:12,993922, Размер: 590
    Ethernet II
    Destination MAC: 00:10:4B:2E:44:BA
    Source MAC: 00:14:85:8D:62:32
    Ethertype: 0x0800 (204 - IP
    IP
    IP version: 0x04 (4)
    Header length: 0x05 (5) - 20 bytes
    Differentiated Services Field: 0x00 (0)
    Differentiated Services Code Point: 000000 - Default
    ECN-ECT: 0
    ECN-CE: 0
    Total length: 0x0240 (576)
    ID: 0xD416 (54294)
    Flags
    Don't fragment bit: 0 - May fragment
    More fragments bit: 0 - Last fragment
    Fragment offset: 0x0000 (0)
    Time to live: 0x80 (12
    Protocol: 0x06 (6) - TCP
    Checksum: 0xDD74 (56692) - correct
    Source IP: 192.168.1.27
    Destination IP: 194.103.3.2
    IP Options: None
    TCP
    Source port: 53164
    Destination port: 25
    Sequence: 0x01B0ED32 (28372274)
    Acknowledgement: 0x5303BFAB (1392754603)
    Header length: 0x05 (5) - 20 bytes
    Flags: ACK
    URG: 0
    ACK: 1
    PSH: 0
    RST: 0
    SYN: 0
    FIN: 0
    Window: 0x5DC0 (24000)
    Checksum: 0x5229 (21033) - correct
    Urgent Pointer: 0x0000 (0)
    TCP Options: None
    SMTP
    Data
    Microsoft MimeOLE V6.00.3790.2757

    This is a multi-part message in MIME format.

    ------=_NextPart_000_0002_01C802CF.015717BF
    Content-Type: text/plain;
    charset="iso-8859-1"
    Content-Transfer-Encoding: quoted-printable

    VIAGRA CIALIS =20
    Sex can be one of the most enjoyable =
    parts of your life. It may strengthen your relationship with your =
    partner.
    If a relaxing moment turns into the =
    right moment, will y
    Данные:
    0x0000 00 10 4B 2E 44 BA 00 14-85 8D 62 32 08 00 45 00 ..K.Dє..:_b2..E.
    0x0010 02 40 D4 16 00 00 80 06-DD 74 C0 A8 01 1B C2 67 .@Ф..._.ЭtАЁ..Вg
    0x0020 03 02 CF AC 00 19 01 B0-ED 32 53 03 BF AB 50 10 ..П┐...°н2S.ї<P.
    0x0030 5D C0 52 29 00 00 4D 69-63 72 6F 73 6F 66 74 20 ]АR)..Microsoft
    0x0040 4D 69 6D 65 4F 4C 45 20-56 36 2E 30 30 2E 33 37 MimeOLE V6.00.37
    0x0050 39 30 2E 32 37 35 37 0D-0A 0D 0A 54 68 69 73 20 90.2757....This
    0x0060 69 73 20 61 20 6D 75 6C-74 69 2D 70 61 72 74 20 is a multi-part
    0x0070 6D 65 73 73 61 67 65 20-69 6E 20 4D 49 4D 45 20 message in MIME
    0x0080 66 6F 72 6D 61 74 2E 0D-0A 0D 0A 2D 2D 2D 2D 2D format.....-----
    0x0090 2D 3D 5F 4E 65 78 74 50-61 72 74 5F 30 30 30 5F -=_NextPart_000_
    0x00A0 30 30 30 32 5F 30 31 43-38 30 32 43 46 2E 30 31 0002_01C802CF.01
    0x00B0 35 37 31 37 42 46 0D 0A-43 6F 6E 74 65 6E 74 2D 5717BF..Content-
    0x00C0 54 79 70 65 3A 20 74 65-78 74 2F 70 6C 61 69 6E Type: text/plain
    0x00D0 3B 0D 0A 09 63 68 61 72-73 65 74 3D 22 69 73 6F ;...charset="iso
    0x00E0 2D 38 38 35 39 2D 31 22-0D 0A 43 6F 6E 74 65 6E -8859-1"..Conten
    0x00F0 74 2D 54 72 61 6E 73 66-65 72 2D 45 6E 63 6F 64 t-Transfer-Encod
    0x0100 69 6E 67 3A 20 71 75 6F-74 65 64 2D 70 72 69 6E ing: quoted-prin
    0x0110 74 61 62 6C 65 0D 0A 0D-0A 20 20 20 20 20 20 20 table....
    0x0120 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
    0x0130 20 56 49 41 47 52 41 20-20 20 20 20 20 20 20 20 VIAGRA
    0x0140 20 20 20 20 43 49 41 4C-49 53 20 20 20 20 20 20 CIALIS
    0x0150 20 20 3D 32 30 0D 0A 20-20 20 20 20 20 20 20 20 =20..
    0x0160 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
    0x0170 20 20 20 20 20 20 20 53-65 78 20 63 61 6E 20 62 Sex can b
    0x0180 65 20 6F 6E 65 20 6F 66-20 74 68 65 20 6D 6F 73 e one of the mos
    0x0190 74 20 65 6E 6A 6F 79 61-62 6C 65 20 3D 0D 0A 70 t enjoyable =..p
    0x01A0 61 72 74 73 20 6F 66 20-79 6F 75 72 20 6C 69 66 arts of your lif
    0x01B0 65 2E 20 49 74 20 6D 61-79 20 73 74 72 65 6E 67 e. It may streng
    0x01C0 74 68 65 6E 20 79 6F 75-72 20 72 65 6C 61 74 69 then your relati
    0x01D0 6F 6E 73 68 69 70 20 77-69 74 68 20 79 6F 75 72 onship with your
    0x01E0 20 3D 0D 0A 70 61 72 74-6E 65 72 2E 0D 0A 20 20 =..partner...
    0x01F0 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
    0x0200 20 20 20 20 20 20 20 20-20 20 20 20 20 20 20 20
    0x0210 20 20 20 49 66 20 61 20-72 65 6C 61 78 69 6E 67 If a relaxing
    0x0220 20 6D 6F 6D 65 6E 74 20-74 75 72 6E 73 20 69 6E moment turns in
    0x0230 74 6F 20 74 68 65 20 3D-0D 0A 72 69 67 68 74 20 to the =..right
    0x0240 6D 6F 6D 65 6E 74 2C 20-77 69 6C 6C 20 79 moment, will y

    ================================================== ==========================

    так же были соединения на порт 4099 какого-то из этих ip (забыл записать какого именно):

    208.72.169.136
    64.12.161.185
    205.188.7.198

    Комп был _пролечен_ касперским, avz, nod32, cureit,
    один только касперский убил 408 тел вирусов, вроде всё стало тихо, но
    сейчас при включении через где-то полчаса спокойствия начинается снова генерироваться.
    И сейчас Касперский ничего не находит.

    похоже на разновидность

    Trojan-Proxy.Win32.Xorpix.v
    Поведение Trojan-Proxy, троянский proxy-сервер

    Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер около 15 КБ. Написана на Visual C++. Упакована при помощи UPack, размер распакованного файла - около 258 КБ.

    Инсталляция
    После запуска троянец создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файлы polymorph.dll и desktop.ini. Файлы имеют атрибут <скрытый>.

    я так подумал по симптомам поведения компа и потому, что касперский прибил именно такой файл.

    Сейчас я заблокировал на модеме 25 и 4099 порты для бедных моих соседушек, но трафик
    посторонний иногда ещё хоть и маленький, но есть.

    Надеюсь нормально описал симпотмы заражения?

    Не получается выполнить 8й пункт.
    8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
    - система падает в bsod, не как обычно irq_not_less_or_equal и т.д., а там никаких имён файлов,
    просто мол ошибка и если повторится - обращайтесь...пробовали 4 раза.

    Помогите пожалуйста отыскать зверя и я с радостью вышлю его вам для опытов, даже если
    придётся к девочке идти, а не по аське и телефону обьяснять
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     BC_QrSvc('poof');
     BC_DeleteSvc('poof');
      BC_Activate;
     RebootWindows(true);
    end.
    после перезагрузки еще один ....
    Код:
     begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('Srpb47.sys','');
     QuarantineFile('C:\Documents and Settings\123\Application Data\Mra\Update\games.dll','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe')
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пофиксите ...
    Код:
     
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\p artnership.dll (file missing)
    пришлите карантин согласно приложения 3 правил ...
    повторите логи..

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    желательно каспера удалить и поставить последнего.

  5. #4
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    не получается выполнить "ещё один". нашли отсутствие ';' в 12 строке, поправили - система падает в синий экран после или во время того как полосочка пробегает 2й раз. пробовали несколько раз - в одном и том же месте падает. в защищённом режиме не можем загрузиться, т.к. клавиши Fx почему-то перепутаны (в фаре нажимаю alt+f1 - делает не то, такое чувство или сдвинулись ф-ии или шифт залип, хотя все остальные рормально работают).
    видимо придётся несит др. клавиатуру

    Добавлено через 1 минуту

    каспер итак вроде не плохой (6-я версия, обновляется ежечасно)
    Последний раз редактировалось BsB5068; 14.10.2007 в 20:14. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Попробуйте выполнить второй скрипт в таком виде:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\&#196;&#238;&#234;&#243;&#236;&#229;&#237;&#242;&#251;\Settings\partnership.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('Srpb47.sys','');
     QuarantineFile('C:\Documents and Settings\123\Application Data\Mra\Update\games.dll','');
     bc_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     bc_DeleteFile('C:\Documents and Settings\All Users\&#196;&#238;&#234;&#243;&#236;&#229;&#237;&#242;&#251;\Settings\partnership.dll');
     bc_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Остальные рекомендации остаются в силе. А антивируса Касперского Personal сейчас 7-я версия актуальна. Ключ, если легальный, должен подходить.

  7. #6
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    тот же BSOD
    видимо нужно нести клавиатуру и грузить по F8?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пробуем так ...
    Код:
    begin
      QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('Srpb47.sys','');
     QuarantineFile('C:\Documents and Settings\123\Application Data\Mra\Update\games.dll','');
     Bc_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     Bc_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     Bc_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  9. #8
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    вот этот "прошёл" без синего экрана, однако стандартный 3й скрипт (лечение\карантин) по прежнему падает в синий...
    вот лог после лечения.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINDOWS\Temp\startdrv.exe Trojan-Proxy.Win32.Wopla.ag
    C:\WINDOWS\system32\ntos.exe Trojan.MulDrop.9286
    выполните скрипт...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Srpb47','Start');
     RebootWindows(true); 
    end.
    потом еще один
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    DeleteFile('C:\WINDOWS\system32\drivers\Srpb47.sys');
    DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_DeleteSvc('Srpb47');
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    повторите логи ....

  11. #10
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    делаем первый - падаем в синий...
    второй делаем без
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    насколько я понял из пред. постов из-за этих строк мы ловим синий экран..
    собираем логи....(девочка не шустро всё делает ; )

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    стандартный скрипт 3 так и не проходит ?

  13. #12
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    теперь работает 3й!
    вот логи.
    неужели всё в порядке?
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Отключите восстановление системы !!!
    віполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');   
     BC_ImportDeletedList;
     BC_DeleteSvc('symavc32');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите последний лог ...

  15. #14
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    virusinfo_syscheck_5.zip:
    Вы уже вложили этот файл в теме : новый (?) вирус, рассылающий рекламу, KAV пока не ловит.
    virusinfo_syscure_5.zip:
    Вы уже вложили этот файл в теме : новый (?) вирус, рассылающий рекламу, KAV пока не ловит.

    ерунда какая-то, не могу прикрепить последний лог.

    и комп говорит тормозить теперь стал, может каспер "активизировался"?

    Аленка (23:56:52 14/10/2007)

    только у меня комп страшно тормозить стал


    при работе


    ну вот открываю окно аськи и у меня думает...... потом начинаю печатать, а у меня секунд 20 запаздывает, потом так же отправляет.... Все так

    и открывается тоже долго

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    удалите предыдущий лог ... тогда новый нормально загрузится

  17. #16
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    пробую цеплять новые логи:
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    что-то не нравится мне это
    в одном логе

    Модули пространства ядра
    Модуль Базовый адрес Размер в памяти Описание Производитель
    \SystemRoot\System32\Drivers\a5fl5mcm.SYS
    Скрипт: Kарантин, Удалить, Удалить через BC F7924000 04A000 (303104)

    в другом уже

    Модули пространства ядра
    Модуль Базовый адрес Размер в памяти Описание Производитель
    \SystemRoot\System32\Drivers\aetgixv6.SYS
    Скрипт: Kарантин, Удалить, Удалить через BC F7912000 04A000 (303104)

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах чисто что касается драйверов это от демона он при каждой загрузке создает новый со случайным именем ....

  20. #19
    Junior Member Репутация
    Регистрация
    07.10.2007
    Сообщений
    10
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    в логах чисто что касается драйверов это от демона он при каждой загрузке создает новый со случайным именем ....
    что за демон? sptd.sys?
    я правильно понял что чистка должна пройти успешно?
    ps: у девочки почему-то ещё copy-paste через раз то работало, то не работало...приходилось перезагружаться, может ещё что-то перевралось в скриптах при переносе из аськи в AVZ?

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    DAEMON Tools ...sptd.sys тоже от него ....

  • Уважаемый(ая) BsB5068, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Новый (пока что) вирус
      От Проходимец в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.05.2009, 20:35
    2. вирус рассылающий спам
      От igrek в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:27
    3. Вирус рассылающий спам
      От DiverDW в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:44
    4. Вирус рассылающий спам
      От Delax в разделе Помогите!
      Ответов: 30
      Последнее сообщение: 22.02.2009, 01:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00896 seconds with 17 queries