Показано с 1 по 16 из 16.

По всей видимости какая-то мутация Beagle. (заявка № 14828)

  1. #1
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41

    Question По всей видимости какая-то мутация Beagle.

    Вчера(или даже позавчера) в процессе поиска кряка/кейгена/лодера/серийника к ProNFS(нфс клиентдля венды) запустил(предвариельно проверив его антивирусом AVG) файл "ProNFS 2.7.exe" весом 546281 байт.
    Который незамедлительно создал свою копию, в том же каталоге, с именем CTHELPER.exe. после чего я сразу убил то, что запустилось, и таск мэнэджером убил все незнакомые процессы включая CTHELPER.exe и всякие msiexec и тому подобные. После этого обновил(предидущий раз обновлялся около 2-3(может 6-7) дней доэтого) AVG и ещё раз просканил тот же файл, AVG нашел что-то вроде "IRC/BackDoor.SdBot3.WBY", просканил всю систему ничего не нашлось, снёс AVG, поставил NOD32 результат тот же...
    Вот закидывал архив с тем файлом на virustotal.com :
    http://www.virustotal.com/ru/resulta...5e7ebfecb28e93

    P.S. при первом запуске HiJackThis оно выдало вот такой вот эррор:
    Код:
    ---------------------------
    HijackThis
    ---------------------------
    Please help us improve HijackThis by reporting this error  Click 'Yes' to submit  Error Details:   An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load) Error #5 - Invalid procedure call or argument  Windows version: Windows NT 5.02.3790 MSIE version: 6.0.3790.3959 HijackThis version: 2.0.2
    ---------------------------
    Yes   No   
    ---------------------------
    P.P.S. оригинал архива с файлом всё ещё сохранился, могу залить если кто-то хочет. вообще хотелось бы узнать побольше про эту гадость, чем её найти и вылечить и что она вообще делала.
    Вложения Вложения
    Последний раз редактировалось Shadow[13]; 03.12.2007 в 20:26. Причина: память... ^_^ фиговая всмысле
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\nodd.exe','');
     QuarantineFile('\SystemRoot\system32\ckldrv.sys','');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    выполните пункт 2 правил ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    Скрипт выполнил, файл закачал:
    Файл сохранён как 071203_115940_virus_4754440c541f3.zip
    Размер файла 307593
    MD5 2169413defb8bb649b7c6a9df8b473a6
    со вторым пунктом правил... перед тем как пойду спать запущупроверку, т.к. она займёт много часов. (AVG просканил где-то за 6-8 часов, NOD32 сканил более 16ти часов)
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\WINDOWS\system32\nodd.exe
    Код:
    AhnLab-V3	2007.12.4.0	2007.12.03	-
    AntiVir	7.6.0.34	2007.12.03	-
    Authentium	4.93.8	2007.12.02	-
    Avast	4.7.1074.0	2007.12.03	-
    AVG	7.5.0.503	2007.12.03	-
    BitDefender	7.2	2007.12.03	Trojan.Generic.76797
    CAT-QuickHeal	9.00	2007.12.03	-
    ClamAV	0.91.2	2007.12.03	-
    DrWeb	4.44.0.09170	2007.12.03	-
    eSafe	7.0.15.0	2007.12.03	suspicious Trojan/Worm
    eTrust-Vet	31.3.5340	2007.11.30	-
    Ewido	4.0	2007.12.03	-
    FileAdvisor	1	2007.12.03	-
    Fortinet	3.14.0.0	2007.12.03	-
    F-Prot	4.4.2.54	2007.12.02	-
    F-Secure	6.70.13030.0	2007.12.03	-
    Ikarus	T3.1.1.12	2007.12.03	Virus.Win32.AutoRun.pc
    Kaspersky	7.0.0.125	2007.12.03	-
    McAfee	5176	2007.12.03	-
    Microsoft	1.3007	2007.12.03	-
    NOD32v2	2698	2007.12.03	-
    Norman	5.80.02	2007.12.03	-
    Panda	9.0.0.4	2007.12.02	Trj/Agent.GZW
    Prevx1	V2	2007.12.03	Generic.Malware
    Rising	20.21.02.00	2007.12.03	-
    Sophos	4.23.0	2007.12.03	-
    Sunbelt	2.2.907.0	2007.12.01	-
    Symantec	10	2007.12.03	-
    TheHacker	6.2.9.147	2007.12.01	-
    VBA32	3.12.2.5	2007.12.03	Virus.Win32.AutoRun.pc
    VirusBuster	4.3.26:9	2007.12.03	-
    Webwasher-Gateway	6.6.2	2007.12.03	-
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\nodd.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    выполнено
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделайте новый комплект логов ...

  8. #7
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    Готово.

    P.S. Вернусь часа через 3, если за время моего отсутсвия система не сдохнет... :)
    P.P.S. Надеюсь ничего с логами не напутал :)
    Вложения Вложения
    Последний раз редактировалось Shadow[13]; 03.12.2007 в 23:25. Причина: Память... >_<
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500

  10. #9
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    Выполнено. (Опять же таки надеюсь, что ничего не напутал ^_^)

    P.S. Всегда рад выслушать советы по облегчению(увеличение быстройдействия, уменьшение количества сжираемых ресурсов) системы и повышению секьюрности. ^_^
    Вложения Вложения
    Последний раз редактировалось Shadow[13]; 04.12.2007 в 01:26. Причина: Переосмысливание. Мелкая коррекция.
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ничего зловредного больше не вижу ...
    есть странности в логе avz , но у вас весьма специфический набор программ установлен ...
    какие-то проблемы остались ?

  12. #11
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    мм... Да собственно проблем я никаких вообще не заметил... но как-то не верится что оно всё попередохло... ещё AVZ какую-то ошибку выдал когда в сэйф моде его запускал... но текст я не сохранил, хотя он больше это никак не отразил вроде нигде... скоро пойду спать, на ночь(день) запущу CureIt из под сэйф мода... завтра утром(сегодня вечером) отпишусь. С удовольствием порешу всё подозрительное, что с 75% вероятность не убьёт систему полностью, так что единственным выходом будет переустановка, если какое ПО сдохнет как-нить в процессе потом переустановлю/восстановлю. Отпишусь, когда проснусь.
    Ожидаю дальнейших инструкций бип-бип-бип

    Добавлено через 9 часов 53 минуты

    Просканился CureIt'ом в сэйф моде, скачал его какраз перед темм как ушел.
    Результат 0... он нашел Beagle в хранилище AVG несколько утилит для работы с сетью/системой/восстановления_информации(например_забытых_паролей ) и ещё нашел 2 трояна в SFU... О_О

    Да, мне кажется, что ось иногда странно реагирует, и не пропадает чувство что эта штука сидит глубоко в системе зарышись туда, как червь в бункер. Посоветуйте чем ещё можно просканиться, чтоб быть хотябы процентов на 95 уверенным?

    P.S. Кто незнает что такое SFU может идти сюда: http://technet.microsoft.com/en-us/i.../bb380242.aspx
    Последний раз редактировалось Shadow[13]; 04.12.2007 в 19:45. Причина: Переосмысление.
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скачайте триал касперского .... (у вас то вообще ничего нет) ... будет у вас хороший антивирус и на месяц бесплатно ....

  14. #13
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    Триалами не пользуюсь. :)
    А ничего нету т.к. я снёс два антивиря. И пока не решил что поставить вместо них.

    Каспера всётаки ставить не буду, слишком грамосткая хрень, которая ктомуже думает что знает всё лучше меня.

    Мне от антивируса нужен только антивирус :) ну и может быть ещё могу использовать монитор, если он не хавает ресурсы.
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от Shadow[13] Посмотреть сообщение
    Триалами не пользуюсь.
    странно ...
    А ничего нету т.к. я снёс два антивиря. И пока не решил что поставить вместо них.
    два точно хуже одного ....
    Каспера всётаки ставить не буду, слишком грамосткая хрень,
    ну не более чем любой другой антивирус ...
    которая ктомуже думает что знает всё лучше меня.
    може так оно и есть
    Мне от антивируса нужен только антивирус ну и может быть ещё могу использовать монитор, если он не хавает ресурсы.
    тогда это уже не антивирус .... сканер это - пталогоанатом .... он все знает... только на помощь приходит слишком поздно ...

  16. #15
    Junior Member Репутация
    Регистрация
    18.11.2006
    Адрес
    Solar System...
    Сообщений
    96
    Вес репутации
    41
    Цитата Сообщение от V_Bond Посмотреть сообщение
    два точно хуже одного ....
    Естественно я их не сразу 2 ставил :)... а сначала снёс один, а потом поставил другой.
    Цитата Сообщение от V_Bond Посмотреть сообщение
    ну не более чем любой другой антивирус ...
    Не сказал бы. Каспер один из самых громостких антивирусов и один из самых требовательных к ресурсам. Сравни его, к примеру, с пандой...
    Цитата Сообщение от V_Bond Посмотреть сообщение
    тогда это уже не антивирус .... сканер это - пталогоанатом .... он все знает... только на помощь приходит слишком поздно ... :)
    Сомневаюсь. :)
    Перед тем как что-то запустить(если это не слито с оффициального сайта) я обычно всегда это сканирую антивирусом, так что помоему в самый раз. Все четыри раза когда мой комп был заражен каким-либо вирусом это происходило потому как я сам запускал файл зараженный вирусом(в первый раз это был червь Klez какой-то, выделил несколько десятков файлов зараженных им и по чистой случайности нажал энтер. во второй раз это был jeefo, который сожрал большую часть моих дистрибутивов(4-5 лет назад было, по локалке с фтп что-то слил зараженное, по странному поведению системы почувствовал, что что-то неладное), потом третий раз был(я тут отписывал какраз по этому поводу) когда я запустил файл подозревая(с 90% уверенностью, хотя антивирус и сказал, что там ничего нету) что он заражен вирусом(честно говоря немогу сказать почему запустил, наверное просто интересно стало, что там, в общем я за это поплотился своим ICQ UIN'ом)... Ну и вот это собственно четвёртый раз, я тоже подозревал, что файл заражен вирусом, но поверил антивирусу... В общем я сомневаюсь что я бы его запустил, если б у меня небыло антивируса. Так, что антивирусы мне пока особо не помогли, хоть они в первые два раза и вычистили заразу(поубивав большую часть установленного ПО и большую часть дистрибутивов(до сих пор не все убитые дистрибутивы нашел), во вторые два раза они вообще мне помочь не смогли и даже скорее наоборот. :( Хотя, за всё время использования они всётаки 1 раз сканер предотвратили запуск файла зараженного вирусом и пару лет назад монитор нод32 помог не заразиться jeefo во второй раз, зараженную прогу слил с одного ресурсва в локальной сети, ресурс был вроде как полу-оффициальный(пользовательский с поддержкой сетью, т.е. либо на машинке принадлежащей сети либо на пользовательской машинке находящейся в серверной сети с управлением одним из пользователей сети, незнаю как ещё такое назвать, кроме как полу-оффициальный), поэтому не стал проверять сканером(пользователь администрировавший тот ресурс кстати знал, что тот файл был заражен вирусом и на мой вопрос какого фига он не лечится он сказал что типа нафиг надо, если он никакого вреда от вируса не замечает).

    Да, кстати :), в любом случае спасибо за помощь в лечении, хотя я и не уверен, что всё вылечилось.

    P.S.:
    Цитата Сообщение от V_Bond Посмотреть сообщение
    може так оно и есть ;)
    Я всётаки предпочитаю совершать ошибки сам, а не полагаться, что кто-то(что-то) другой(ое) их совершит за меня.
    Последний раз редактировалось Shadow[13]; 04.12.2007 в 21:45. Причина: Переосмысление.
    [RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\nodd.exe - Trojan.Win32.Autoit.bk (DrWEB: Trojan.Autospy)


  • Уважаемый(ая) Shadow[13], наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. мутация вируса z-coonect
      От NikitaYurlans в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.09.2010, 19:45
    2. Ответов: 4
      Последнее сообщение: 16.01.2010, 10:56
    3. По всей видимости вирус
      От Максут в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.07.2008, 16:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00879 seconds with 17 queries