-
Junior Member
- Вес репутации
- 62
Прошу помощи
Во время поиска информации сотрудница нашла на порядочном сайте непорядочный троян. Из признаков пока обнаружены тормоза системы.
Trend Office Scan обнаружил почти сразу 5 файлов, но удалить смог только 3. CureIt обнаружил зараженные файлы в папке временных файлов Интернета, и вроде даже удалял, но позже AVZ их вновь обнаружил. В процессах CureIt вируса не увидел, хотя тон там присутствует sv32_0.exe
Помогите решить проблему.
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить антивирус.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
DeleteFile('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
BC_DeleteFile('c:\docume~1\oborot~1\locals~1\temp\sv32_0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Новые логи надо будет сделать.
ССылочку на сайт, где поймали добавь в сообщение через
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Файл сохранён как 080321_090132_virus_47e3bfbce0860.zip
Размер файла 994435
MD5 6e534c0dd3a5a0b984eaa5d1838423d7
Что касается сайта ... как по закону подлости все свершилось под конец рабочего дня конца недели. Поэтому спросить и узнать с какого точно сайта я не могу. По крайней мере до понедельника. Но могу отослать всю истори ю за сегодняшний день (хотя и не вижу смысла). Единственное, что это сайт по вентиляции и одинг из зараженных файлов был ventil[].html ... Вот такие вот дела ... логи делаются.
-
В дополнение, выполните, пожалуйста, еще вот такой скрипт:
Код:
begin
Clearquarantine;
QuarantineFile('c:\windows\temp\bcb406.exe','');
BC_importquarantinelist;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите еще раз по ссылке http://virusinfo.info/upload_virus.php?tid=20241 , как написано в прил. 3 правил.
-
-
@Numb Этот файл скорее всего охранник ТрендМикро. При след. перезагрузке он имя сменит.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
@Numb Этот файл скорее всего охранник ТрендМикро. При след. перезагрузке он имя сменит.
Именно так и есть.
Что касается скрипта, то я его выполнил.
Однако при повторном создании логов в AVZ зараза была вновь обнаружена, но в файле поменяна последняя цифра sv32_4.exe. Да думаю вы и сами увидите в логах и карантине.
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
Junior Member
- Вес репутации
- 62
Файл сохранён как 080321_095650_virus_47e3ccb27d8fe.zip
Размер файла 994435
MD5 6e534c0dd3a5a0b984eaa5d1838423d7
Это в догонку ... карантин, собранный AVZ при последней подготовке логов
-
18/32 - итог на вирустотал.
AntiVir 7.6.0.75 2008.03.20 TR/Dldr.Logsnif.1
Avast 4.7.1098.0 2008.03.21 Win32:BZub-KY
Касперский и Др.Веб его не знают, или не считают за малваре.
вот такой результат. Думаю, его кто-то восстанавливает.
Временные файлы Инета почисть.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
18/32 - итог на вирустотал.
AntiVir 7.6.0.75 2008.03.20 TR/Dldr.Logsnif.1
Avast 4.7.1098.0 2008.03.21 Win32:BZub-KY
Касперский и Др.Веб его не знают, или не считают за малваре.
вот такой результат. Думаю, его кто-то восстанавливает.
Временные файлы Инета почисть.
К содалению машина обрабатывалась мной дистанционно и сейчас она уже выключена ... В понедельник с утра я начну с чистки временных файлов инета. Меня еще несколько смущают файлы в корне C типа 1A.tmp, 23.tmp и еще один (не помню номер, хотя подразумеваю, что он может быть любым). Просто с этими "молодцами" я уже встречался ранее при лечении от других троянов. Их размер состовляет по 1 кб. Думаю, что пропущу их опять же в понедельник через Virustotal...
А пока будем ждать понедельника. Посмотрим как будет себя вести машинка ...
-
Junior Member
- Вес репутации
- 62
В понедельник с утра я начну с чистки временных файлов инета.
Очистил систему стандартными средствами. Но отметил, что чистка проводится не полностью. Например, файл sv32_4.exe пришлось удалять с помощью AVZ.
Меня еще несколько смущают файлы в корне C типа 1A.tmp, 23.tmp и еще один (не помню номер, хотя подразумеваю, что он может быть любым). Просто с этими "молодцами" я уже встречался ранее при лечении от других троянов. Их размер состовляет по 1 кб. Думаю, что пропущу их опять же в понедельник через Virustotal...
Проверил эти файлы ... оказались чистыми. Предполагаю, что это отработанный материал от вирусов.
А пока будем ждать понедельника. Посмотрим как будет себя вести машинка ...
Уже вторник, но вроде все пока чисто.
В любом случае помещаю логи (вчерашние)
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
C:\Documents and Settings\Oborotova_VE\Local Settings\Temp\sv32_4.exe - все равно есть в логах.
Буду созывать консилиум, жди вопросов от различных людей в этой теме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
C:\Documents and Settings\Oborotova_VE\Local Settings\Temp\sv32_4.exe - все равно есть в логах.
Буду созывать консилиум, жди вопросов от различных людей в этой теме.
Думаю, что его там нет ...
Сделаю дополнительные логи ...
-
c:\program files\ichat\ichat.exe - вот этот файлик загрузи через карантин для проверки. ТНК Rene-gad
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
c:\program files\ichat\ichat.exe - вот этот файлик загрузи через карантин для проверки. ТНК Rene-gad
Писал в личку, но повторю для общественности.
В результате повторного наступления на грабли дэвушка заразила машину повторно сегодня утром ... Поэтому все процедуры проверки выполнял повторно. Кроме логов прикладываю в карантин запрошенный файл.
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
Что бросается в глаза: наловили ворователей паролей. Надо будет их менять.
В логах плохого ничего не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Не получается произвести загрузку файла карантина ... выдает ошибку страницы.
Кстати, в корне диска С появились все-теже *.tmp ... один проверил через virustottal.com. Результат 14/32
-
Расшаренные папки есть? Может из сети что-то ползет.
Диск "С" не расшарен ли полностью на запись?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
На диске С шара административная. В локалке не одна машина, но остальные не подают признаков заражения. Да и совпадение уж больно подозрительное: ловится зараза при попытке поискать информацию на одном из сайтов по вентиляции (ярлыки в архиве во вложении). И зараза то все такого типа, что на вирустотал определяется менее половиной антивирей.
Спасибо, перебросил для рассмотрения
Последний раз редактировалось pig; 25.03.2008 в 19:21.
Причина: забрал архив
-
То, что пока видно:
В файле >ввв.vent.aironline.ru/JavaScript.0 обнаружен вирус Trojan.Click.4223
- Скорее всего, данный сайт и есть источник заражения. А в логах ничего подозрительного я тоже не вижу. Совсем на всякий случай, найдите и загрузите по правилам файлы
Код:
C:\Program Files\BIRTHDAY\birthmil.exe
C:\Program Files\KillWatcher\kwatch.exe
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Numb
То, что пока видно: - Скорее всего, данный сайт и есть источник заражения. А в логах ничего подозрительного я тоже не вижу. Совсем на всякий случай, найдите и загрузите по правилам файлы
Код:
C:\Program Files\BIRTHDAY\birthmil.exe
C:\Program Files\KillWatcher\kwatch.exe
Спасибо большое за помощь в обнаружении источника!!! Можно было бы конечно сообщить разработчикам о том, что у них зараза, но даже выходить на этот сайт не хочется, учитывая слабость нашей корпоративной защиты Так что сайт будет просто нами проигнорирован.
Что касается запрошенных файлов, то файл C:\Program Files\BIRTHDAY\birthmil.exe никак не получается поместить в карантин средствами AVZ. Я конечно попробую это сделать руками, но проблема от этого не пропадет ... не понимаю почему (добавлял как по списку, так и через поиск *.exe с последующим добавлением)
Второй файл отправлен
Файл сохранён как
080326_003423_virus_47e9e05f3cec0.zipРазмер файла468860MD59d14a0acae203ca6b497c06fdf94191f
Второй файл готов
Файл сохранён как 080326_004659_virus_47e9e3538763f.zip
Размер файла 185373
MD5 6a3bfbdbae8852bc2d1ac9710da71433
Последний раз редактировалось CandyMAN; 26.03.2008 в 08:48.
Причина: Добавление