Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

перехватчики (заявка № 20404)

  1. #1
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38

    Thumbs up перехватчики

    Добрый день. Явных симптомов заражения системы нет, но 3 день вместе с техподдержкой КМБ банка не можем добиться восстановления работоспособности новой версии клиент-банка, которая после установки функционировала несколько дней. Вот решили проверить систему на вирусы. На ПК установлен NOD32 v. 2_7.

    CureIt.exe в безопасном режиме ничего стоящего не обнаружил.

    avz обнаружила следующее: wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6].
    Ранее был обнаружен заражённый файл tgt86.exe - Worm.Mail.Warezov.afd (заражение подтверждено 15 антивирусами на virustotal.com). Необходимые отчёты прикрепляю ниже.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Проверим вот эти файлы:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('wtsadpvo.dll','');
     QuarantineFile('diagisr.dll','');
     QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
    RebootWindows(true);
    end.
    Загрузить карантин через ссылку вверху темы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    Не удалось поместить в карантин файлы - wtsadpvo.dll, diagisr.dll

    Ошибка карантина файла, попытка прямого чтения (wtsadpvo.dll, diagisr.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\wtsadpvo.dll, diagisr.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wtsadpvo.dll, diagisr.dll)
    Карантин с использованием прямого чтения - ошибка

    Добавил в архив файлы, которые avz посчитала подозрительными при выполнении скриптов для темы "Помогите". Был ещё подозрительный файл c:\windows\system32\drivers\uphcleanhlp.sys но добавить его в карантин не удалось по той же причине

    Добавлено через 51 минуту

    как вариант можно попробовать вытащить эти файлы, загрузившись с infraCD. Есть такая необходимость?
    Последний раз редактировалось turtle; 25.03.2008 в 17:54. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Попробуй эти файлы найти через AVZ и добавить в карантин.
    Хотя бы вот этот 'wtsadpvo.dll'
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    Павел, добрый день. Пробовал искать через avz - результат отрицательный, сообщение об ошибке в предыдущем моём посте. Пробовал загрузиться с infraCD но и таким способом найти их не удалось. Можете ещё что-то порекомендовать? Факт заражения имеет место быть?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    пофиксите ...
    Код:
    O20 - AppInit_DLLs: wtsadpvo.dll diagisr.dll
    повторите логи начиная спункта 10 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    пофикситься не удалось "Ошибка скрипта: 'BEGIN' expected, позиция [1:1]"
    или так и должно быть? Логи надо повторять?
    Последний раз редактировалось turtle; 28.03.2008 в 10:22. Причина: добавление информации

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    http://virusinfo.info/showthread.php?t=4491
    правила не дочитали по принципиальным соображениям ?

  10. #9
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    Читал конечно :-) Виноват - стормозил, исправлюсь. За то что указали, спасибо.

  11. #10
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38

    логи после фикса

    Пофиксил, логи ниже
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1788
    Чисто,пришлите на всякий случай согласно приложению 2 правил:cpssp.dll
    Последний раз редактировалось Гриша; 28.03.2008 в 11:15.

  13. #12
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    отправил

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    @Гриша Эта dll-ка от Крипто Про.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    Доброе утро. Есть ещё какие-нибудь идеи или пора переходить к радикальным методам? Пока постарался не вмешиваться в систему своими активными действиями. Но время поджимает, руководство требует результат. Если у кого есть мысли буду рад.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    BWMeter - у вас оригинальный ? (что -то не видно его сервиса)
    віполните скрипт ...
    Код:
    begin
     QuarantineFile('c:\program files\bwmeter\bwmeter.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил

  17. #16
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    Отправил. Сервиса не видно очевидно по причине того, что CureIt поместил файл Services.exe из папки BWMeter на карантин. "C:\Program Files\BWMeter\Service.exe является потенциально опасной программой Program.SrvAny - перемещен
    ". Так как я и раньше сталкивался с этим и почитав описание вируса просто вернул файл на место. Наверно CureIt ещё и службу отрегистрировал.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    файл чистый ... но попробуйте деинсталировать прогрмку , частенько она конфликтует со всеми....

  19. #18
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    Деинсталлировал и NOD32 заодно, т.к. в него тоже частенько внедряют. Клиент-банк не заработал. Попробую повторно проверить CureIt и avz

    Добавлено через 1 час 23 минуты

    По прежнему "Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
    Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]"
    Всё-таки это точно вирусы? Может совсем не туда копаю?
    Последний раз редактировалось turtle; 31.03.2008 в 11:35. Причина: Добавлено

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    wininet.dll пришлите согласно приложения 3 правил ... (хотя скорее он чистый)

  21. #20
    Junior Member Репутация
    Регистрация
    25.03.2008
    Сообщений
    44
    Вес репутации
    38
    отправил

  • Уважаемый(ая) turtle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Перехватчики
      От Grisha в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:56
    2. Ответов: 1
      Последнее сообщение: 31.05.2008, 19:33
    3. Перехватчики !!
      От BMW в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.04.2008, 15:53
    4. перехватчики...
      От CcAT в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.04.2008, 06:06
    5. Ответов: 2
      Последнее сообщение: 12.02.2008, 15:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00334 seconds with 17 queries