Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Модификация hosts [not-a-virus:RiskTool.VBS.BitCoinMiner.a ] (заявка № 137776)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30

    Модификация hosts [not-a-virus:RiskTool.VBS.BitCoinMiner.a ]

    Всех приветствую!

    Друзья, помогите, пожалуйста.

    Происходит постоянный редирект при попытке обратиться к ресурсу vk.com.

    На машине стоит актуальный KAV WKS, однако проблему он не решает.

    Сканировал CureIt'ом в безопасном режиме. Результаты:

    C:\WINDOWS\system32\drivers\etc\hosts - probably infected with DFH.HOSTS.corrupted
    C:\WINDOWS\system32\drivers\etc\hosts - infected
    ...
    C:\WINDOWS\system32\drivers\etc\hosts - infected with Trojan.Hosts.6815
    ...
    -----------------------------------------------------------------------------
    Start curing
    -----------------------------------------------------------------------------
    C:\WINDOWS\system32\drivers\etc\hosts - cured
    Вроде бы после этого проблема пропала, но не надолго. Появились те же самые симптомы.

    Решил обратиться к вам, очень надеюсь на помощь.

    Благодарю!

    P.S. Логи:
    virusinfo_syscure.zip
    Вложение 416021
    Вложение 416022
    Последний раз редактировалось The_Immortal; 24.04.2013 в 16:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) The_Immortal, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    thyrex, скрипт выполнил. Карантин загрузил. Новые логи также выложил.

    Однако имеется один вопросик.
    Код:
    DeleteFile('C:\Documents and Settings\Администратор\Application Data\Flash\update.vbs');
    Данный файл физически располагается по следующему пути:
    C:\Documents and Settings\buh6\Application Data\Flash\update.vbs
    Соответственно, после выполнения скрипта он там и остался.
    Непонятно, почему AVZ показывает путь с "Администратором".
    Да, AVZ запускался именно от Администратора, как было указано в инструкции. Быть может из-за этого произошла путаница с путями?

    P.S. Логи:
    Вложение 416144
    Вложение 416146
    Вложение 416145
    Последний раз редактировалось The_Immortal; 25.04.2013 в 14:42.

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    В новых логах этого файла нет

    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    thyrex,
    Цитата Сообщение от thyrex Посмотреть сообщение
    Что с проблемой?
    Проблема осталась:

    C:\Documents and Settings\buh6>ping vk.com

    Обмен пакетами с www.odnoklassniki.ru [37.10.117.87] по 32 байт:

    Ответ от 37.10.117.87: число байт=32 время=59мс TTL=57
    Ответ от 37.10.117.87: число байт=32 время=61мс TTL=57
    Ответ от 37.10.117.87: число байт=32 время=60мс TTL=57
    Ответ от 37.10.117.87: число байт=32 время=60мс TTL=57

    Цитата Сообщение от thyrex Посмотреть сообщение
    В новых логах этого файла нет
    По факту же этот файл есть:

    Вложение 416213


    Я полагаю имеет смысл выполнить следующий скрипт:
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13); 
    RebootWindows(true);
    end.
    ?

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
    QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\t1.vbs','');
    QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\miner.php','');
     QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs','');
     DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Профиксите в HijackThis

    Код:
    O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    проверьте что с проблемой.

    - - - Добавлено - - -

    + перенесите вручную куда-нибудь эту папку и убедитесь, что у вас всё работает нормально. После этого эту папку удалите. Судя по названию файлов все файлы (по крайней мере из тех, что видны на скрине) в этой папки относятся к майнеру.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist, итак, по порядку.

    Цитата Сообщение от regist Посмотреть сообщение
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
    QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\t1.vbs','');
    QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\miner.php','');
     QuarantineFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs','');
     DeleteFile('C:\Documents and Settings\buh6\Application Data\Flash\update.vbs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Скрипт выполнил - проблема никуда не ушла.



    Цитата Сообщение от regist Посмотреть сообщение
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    Загрузил.



    Цитата Сообщение от regist Посмотреть сообщение
    Профиксите в HijackThis

    Код:
    O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
    Пофиксил. Сразу после этого проблема ушла.



    Цитата Сообщение от regist Посмотреть сообщение
    + перенесите вручную куда-нибудь эту папку
    Данный каталог (C:\Documents and Settings\buh6\Application Data\Flash) удалил, предварительно его заархивировав.



    Цитата Сообщение от regist Посмотреть сообщение
    Сделайте повторные логи
    Сделал:

    Вложение 416311
    Вложение 416312
    Вложение 416313




    Внимание!

    Прошло около часа, как ко мне опять прибегает бухгалтерша: проблема вернулась. Комп даже не перезагружался за это время.
    Так что я выкладываю повторные логи (самые актуальные):

    Вложение 416324
    Вложение 416323
    Вложение 416325

    С Касперского я просто в шоке - ему совершенно до лампочки все
    Последний раз редактировалось The_Immortal; 26.04.2013 в 19:00.

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    вложения не доступны, прикрепите пожалуйста логи заново.

    Цитата Сообщение от The_Immortal Посмотреть сообщение
    С Касперского я просто в шоке - ему совершенно до лампочки все
    извините за наверно глупый вопрос, а базы у вас обновлены ?

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist,
    Цитата Сообщение от regist Посмотреть сообщение
    извините за наверно глупый вопрос, а базы у вас обновлены ?
    Разумеется Каспер обновляется каждый раз при запуске.


    Цитата Сообщение от regist Посмотреть сообщение
    прикрепите пожалуйста логи заново.
    Логи сразу после выполнения Ваших указаний (выполнение скрипта в AVZ, в hijackthis, удаление и архивирование папки Flash):

    Вложение 416342
    Вложение 416343
    Вложение 416344



    Логи спустя час обычной работы:

    Вложение 416345
    Вложение 416346
    Вложение 416347

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    опять в hosts записи добавились .

    1) давайте сначала закроем уязвимости

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    2) Выполните скрипт в AVZ

    Код:
    begin
    ClearHostsFile;
    RebootWindows(false);
    end.
    компьютер перезагрузится.

    3) - Сделайте лог полного сканирования МВАМ.

    4) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist,

    Цитата Сообщение от regist Посмотреть сообщение
    опять в hosts записи добавились .

    1) давайте сначала закроем уязвимости

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    Все уязвимости устранил.



    Цитата Сообщение от regist Посмотреть сообщение
    2) Выполните скрипт в AVZ

    Код:
    begin
    ClearHostsFile;
    RebootWindows(false);
    end.
    компьютер перезагрузится.
    Выполнил.



    Цитата Сообщение от regist Посмотреть сообщение
    3) - Сделайте лог полного сканирования МВАМ.
    Сделал: Вложение 416629
    Как видите, та заархивированная папка ("Flash") задетектилась.
    Однако удалять, согласно рекомендациям, я пока ничего не стал.



    Цитата Сообщение от regist Посмотреть сообщение
    4) - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
    Данную процедуру провел. Результаты прилагаю: http://rghost.ru/45652392 (залил на обменник, т.к. доступный лимит на форуме исчерпан).


    Ожидаю дальнейших указаний.

  19. #13

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist, найденное удалил. Но увы, после небольшой работы проблема вернулась...
    Последний раз редактировалось The_Immortal; 30.04.2013 в 14:25.

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist,
    Вложение 416697
    Вложение 416696

    Быть может попробовать снять логи не из-под локального Администратора, а из-под той учетной записи, на которой ведется работа? Или это бестолковое занятие?

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от The_Immortal Посмотреть сообщение
    а из-под той учетной записи, на которой ведется работа? Или это бестолковое занятие?
    так логи и надо делать под проблемной учёткой . Если они сделаны не из под проблемной учётки, то переделайте.

    - - - Добавлено - - -

    + Сделайте полный образ автозапуска uVS

    если будете запускать из под учётки админа, то не забудьте на шаге №4 выбрать проблемную учётку.

  26. Это понравилось:


  27. #18
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist, я запутался...

    Все логи я делаю под сеансом проблемной учетки (buh6). Но сами программы (AVZ, hijackhis) запускаю от имени Администратора (так сказано в правилах), не выходя при этом из сеанса проблемной учетки (buh6).

    А как надо на самом деле?

  28. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    для начала у вас XP а запуск от имени от администратора для систем Vista и старше (нужно для запуска с правами админа, но с проблемной учётки). Так у вас XP то просто запускайте двойным щелчком и не заморачивайтесь.

    Для того чтобы убрать симптомы, снова

    Профиксите в HijackThis

    Код:
    O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
    и жду лога uVS может там будет видно из-за чего эта зараза возрождается.

  29. Это понравилось:


  30. #20
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    regist,
    Цитата Сообщение от regist Посмотреть сообщение
    Так у вас XP то просто запускайте двойным щелчком и не заморачивайтесь.
    На всякий случай сделал логи просто по двойному щелчку:
    Вложение 416722
    Вложение 416723




    Цитата Сообщение от regist Посмотреть сообщение
    Для того чтобы убрать симптомы, снова

    Профиксите в HijackThis

    Код:
    O1 - Hosts: 37.10.117.87 www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com vk.com m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
    Пока фиксить не стал, ибо бесполезно.




    Цитата Сообщение от regist Посмотреть сообщение
    и жду лога uVS может там будет видно из-за чего эта зараза возрождается.
    Лог uVS: Вложение 416724

    Однако эта дрянь скорее всего в автозапуске не сидит, т.к. проблема возникает без завершения сеанса пользователя.
    Последний раз редактировалось The_Immortal; 30.04.2013 в 17:52.

  • Уважаемый(ая) The_Immortal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Модификация URL
      От kawaiidon в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.11.2011, 14:32
    2. Модификация URL
      От lef7hand в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.11.2011, 13:23
    3. Модификация URL
      От thor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.11.2011, 08:39
    4. Модификация Kido
      От BooZ в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 19.11.2010, 19:16
    5. модификация ntos
      От mkl в разделе Вредоносные программы
      Ответов: 9
      Последнее сообщение: 14.03.2008, 14:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01469 seconds with 17 queries