Показано с 1 по 12 из 12.

Подозрение на троянскую программы с FU-Based руткитом (заявка № 187588)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2015
    Сообщений
    6
    Вес репутации
    32

    Подозрение на троянскую программы с FU-Based руткитом

    Довелось устанавливать зараженную (видимо) игру.

    Первым замеченным симптомом были сбои хрома, после перезагрузки все настройки хрома сбросились и его версия вдруг оказалась 29.0.. (hic!.. при актуальной 44.0..), при этом остальные браузеры (Мозилла) при попытке запуска через ярлык были перенаправлены на тот же хром 29.
    Изучив внимательнее папку с исполняемым файлом хрома, я обнаружил, что там располагаются 3 исполняемых файла: chrome.exe (редакции времени установки приложения -- т.е. сегодняшним числом и той самой версией 29.0..), chrome_old.exe (измененный 14.07.15) и old_chrome.exe (7.07.15) с соответствующей папкой для каждой из версий исполняемого файла. При запуске двух последних браузер запускался с историей и целыми настройками.

    Проверки KVRT, tdsskiller и CureIt ничего не дали, однако запестрил красненьким AVZ и при попытке установки Каспера тот с гордым видом чистоплюя сообщил, что установиться у него не получилось и виной тому, видимо, вирусы.
    Malwarebytes посадил в карантин по паре свеженьких разделов и значений реестра PUM.Security.Hijack.DisableChromeUpdates.

    И вот я здесь, надеюсь и уповаю.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Saddiel, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    Вы сами прописывали настройки прокси-сервера?

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 186.27.126.130:80

    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);  
     QuarantineFile('C:\Users\ism\appdata\roaming\ssleas.exe','');
     DeleteFile('C:\Users\ism\appdata\roaming\ssleas.exe','32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в AVZ:
    Код:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Отключите AVZGuard и приложите новые логиAVZ.
    Важно: для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. #4
    Junior Member Репутация
    Регистрация
    25.07.2015
    Сообщений
    6
    Вес репутации
    32
    Цитата Сообщение от SQ Посмотреть сообщение
    Вы сами прописывали настройки прокси-сервера?

    Отключите AVZGuard и приложите новые логиAVZ.
    Скорее всего да, настройки сам прописывал, но не помню точно, не уверен. Настройки были занесены, но галочкой включены не были.

    AVZGuard и не включается, "Ошибка AVZ Guard: C000036B".
    Логи прикладываю, карантинный файл высылаю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
    ExecuteStdScr(6);
    end.
    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  7. #6
    Junior Member Репутация
    Регистрация
    25.07.2015
    Сообщений
    6
    Вес репутации
    32
    done
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      GroupPolicyScripts: Group Policy detected <======= ATTENTION
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      NETSVC: dosvc -> No ServiceDLL Path.
      2015-07-13 09:04 - 2015-07-13 09:04 - 0371216 _____ () C:\Users\ism\AppData\Roaming\data13.dat
      Task: {546F4912-ED1E-48E3-94AF-C81F44DD7FE2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B No Task File <==== ATTENTION
      Task: {6D8A1354-ABBB-4C5B-B31A-DEED0E216433} - \Microsoft\Windows\Setup\GWXTriggers\Logon No Task File <==== ATTENTION
      Task: {82B68E5D-FE3D-468C-868E-C10A19D8DE0F} - \SpeechRuntimeTask No Task File <==== ATTENTION
      Task: {8FB11BF2-4143-4D7C-AFB3-FB8FEA3D89F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle No Task File <==== ATTENTION
      Task: {97CA58A5-70F1-4F6F-8607-6EF1421110D7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess No Task File <==== ATTENTION
      Task: {D8B30014-B55C-4485-A083-7361529289F0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig No Task File <==== ATTENTION
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    Последний раз редактировалось mike 1; 28.07.2015 в 01:26.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. #8
    Junior Member Репутация
    Регистрация
    25.07.2015
    Сообщений
    6
    Вес репутации
    32
    done [2]
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    На этом всё!
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  11. #10
    Junior Member Репутация
    Регистрация
    25.07.2015
    Сообщений
    6
    Вес репутации
    32
    AVZ продолжает говорить про маскировки процессов и перехваты функций. Так и должно быть? (О,о)

    //и Касперский всё так же не устанавливается >.<

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Согласно предоставленными Вами логи, вирусов нет.

    1.
    AVZ продолжает говорить про маскировки процессов и перехваты функций. Так и должно быть? (О,о)
    Скорее всего причина связанна с включение AVZGuard, данная фича не корректно работает в x64 системах.
    Cистемные события:

    Error: (07/26/2015 11:24:10 AM) (Source: Application Popup) (EventID: 1060) (User: )
    Description: \??\C:\WINDOWS\SysWow64\Drivers\utewmtcx.sys

    2.
    и Касперский всё так же не устанавливается
    Возможная причина присутствует несовместимое ПО, с решением системных проблем помочь не сможем.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  13. Это понравилось:


  14. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Saddiel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подозрение на троянскую программу
      От duve в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.04.2010, 19:44
    2. Подозрение на троянскую DLL
      От Menders в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2010, 23:11
    3. Подозрение на троянскую DLL
      От Jony948 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 08:39
    4. AVZ-Подозрение на троянскую DLL
      От Dr. в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.06.2008, 22:55
    5. AVZ подозрение на троянскую DLL
      От АлексейН в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 11.04.2007, 14:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01570 seconds with 20 queries