Показано с 1 по 18 из 18.

Попытка автозапуска BAT'ника (заявка № 192583)

  1. #1
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25

    Попытка автозапуска BAT'ника

    Добрый день.
    Сегодня на одной из машин запустили вложение в письмо типа письмо.scr
    но со слов запустившего, на запрос UAC он ответил не запускать.
    Тем не менее CureIt находит в ТЕМР *.bat файл который создается раз 30 секунд запуском consent.exe. (cureit назвал его Troyan.SIGGEN6.423)

    Т.е. появляется окно предложением запустить cmd.exe с параметром /c C:\Users\**\appdata\local\temp\*****.bat
    нажимая "нет" окно закрывается, но через 30 сек опять запускается, удаление батника ни к чему ни приводит.
    Сам батник, судя по содержимому, создает пару разделов в реестре и запускет вирусняк в папке windows\system32\JHFDHGFH.exe
    Этого файла там нет.
    Комп не перезагружал (боюсь)

    Посторонних процессов нет (кроме consent.exe - который системный - который появляется и исчезает после ответа НЕТ).

    Установлен Symantec Endpoint Protection, обновлен, ни видит вообще проблем.
    Cureit прошелся - файл (bat) удалил, больше ничего не нашел. Пробовал дважды запускть результат всегда один.




    hijackthis.log
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    Последний раз редактировалось Maniacus26; 10.11.2015 в 16:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) Maniacus26, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Деинсталлируйте браузер Амиго.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    Деинсталлировал Амиго.

    Образ по ссылке
    UVS autorun log

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Такой вот файл: C:\USERS\BUH\APPDATA\LOCAL\TEMP\AKK29FACCC24562.BA T
    Содержимое:
    Код:
    @echo off
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
    reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run" /v "YOfowjvEjWgJsEPeOgTXIQVype"  /t REG_SZ /f /d "C:\Windows\system32\hAjQFdwIbJuvRg.exe"
    Явно пытается прописать зловреда в автозагрузку.

    Сделайте лог Gmer.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    Сделал лог
    Вложения Вложения
    • Тип файла: log gmer.log (158.4 Кб, 3 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Запуск .bat файла идёт от процесса svchost.exe c pid=984, работающим от NT AUTHORITY\система, от какой именно службы - понять сложно.

    Сделайте образ автозапуска uVS с Live CD, только образ диска скачайте отсюда: WINPE60_UVS3.86.ISO.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    svchost.exe c pid=984 это по видимому и есть consent.exe который вызывает cmd.exe с ключом \C C:\USERS\BUH\APPDATA\LOCAL\TEMP\AKK29FACCC24562.BA T

    Образ сделаю - только вот боюсь после перезагрузки получить зашифрованные базы 1С.
    Комп как в 90% случаев тут "Бухгалтерский".

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Отберите у пользователя buh права администратора, по возможности не загружайте компьютер с HDD, дождитесь анализа оффлайнового образа автозапуска.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    Оффлайн лог тут

    Лог оффлайн

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Не то, надо было загрузиться с нарезанного диска...

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Не то, надо было загрузиться с нарезанного диска...
    Ну так этот лог создан строго по инструкции, закатал диск, загрузился с него, выбрал диск с ОС (ДИСК Е) провел скан, сохранил лог, соммандером закатал на флешку и передал сюда.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Прошу прощения,это я образы перепутал...

    Ничего кроме этого .bat файла в системе не видно.
    Загрузитесь в безопасном режиме, оставьте у пользователя buh права обычного пользователя (если этого ещё не сделали), убедитесь, что защита системы включена и имеются свежие точки восстановления. Удалите .bat файл из папки C:\USERS\BUH\APPDATA\LOCAL\TEMP Загрузитесь в обычном режиме, отключив компьютер от сети - запрос на запуск с повышением прав будет появляться?
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    Перезагрузился в обычном режиме, запросов на запуск чего либо нет.
    Предварительно убрав у пользователя права администратора.

    Спасибо за помощь.
    Похоже я "переиспугался".

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Лучше, чтобы у пользователя и не было прав администратора, иначе хлопот не оберёшься.

    Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  17. #16
    Junior Member Репутация
    Регистрация
    17.03.2011
    Сообщений
    15
    Вес репутации
    25
    Запускал под админом.

    Батник удалил, более не появляется.

    За все спасибо. Тему можно считать закрытой.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    836
    Java 8 обновите до Java 8 Update 65.

    Ну и отсутствие SP1 и IE 8 на 7-ке - совсем уж не комильфо...
    WBR,
    Vadim

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Maniacus26, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. trojan siggen6.587
      От vitoldbr в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.07.2014, 19:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00074 seconds with 17 queries