Показано с 1 по 13 из 13.

Новые трояны из временной папки (заявка № 49866)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35

    Question Новые трояны из временной папки

    Только недавно вроде бы вылечился от заразы, ан опять вылезла. Ума не приложу откуда: флешек не втыкал, ничего подозрительного не запускал, все критические обновления стоят. Вероятно, сидит оно где-то глубже, чем казалось...
    Опять разнообразное вылезает из временной папки. Сканер DrWeb (как и CureIt!) запускается только в защищенном режиме. В обычном вылетает. Иногда появляется старый добрый svchost.exe в Program Files\Microsoft Common. Мочу его gmer'ом, как в прошлый раз, - помогает ненадолго. Что это, доктор?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49866).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35
    Жду дальнейших указаний.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35
    С утра включил компьютер - svchost.exe опять откуда-то взялся, чтоб его. На всякий случай выкладываю логи на текущий момент.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ага, снова он. С флэшки, наверно?
    Обновите антивирус. Если он не начнет его определять, тогда подключите все свои съемные носители и повторите логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35
    В том-то и дело, что никаких съемных носителей я за это время не подключал! Ну а если бы подключал, то, конечно же, обратил бы внимание, что у них в автозагрузке.
    Такое ощущение, что он самовоспроизводится чем-то, сидящим в системе глубже. Может такое быть? Стоит еще раз повторить последний скрипт?
    Поразительно, что на вирустотале его до сих считают за вирус лишь 5 из 41. Ни DrWeb, ни Касперский его вирусом не считают!

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35
    Вчера убил svchost с помощью прежнего рецепта, сегодня та же самая ситуация. При первом подключении к интернету лезет зараза из временной папки (и отлавливается DrWeb'ом), сразу после этого svchost появляется на прежнем месте.
    Никаких сменных носителей не подключал!
    Что же это может быть?
    Начинаю грешить на Оперу. Может, в ней уязвимость какая-то, хотя я использую последнюю версию. У меня в ней всегда открыто много вкладок, а зараза лезет только после ее открытия, по моим наблюдениям. Попробую в очередной раз вылечиться и поработать с минимумом открытых сайтов.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В Опере есть такая вещь: пользовательские скрипты. Где искать точно не скажу, покопайтесь в конфигурации. М.б. там что-то висит.

    Логи сделайте, скачав AVZ из моей подписи. На расширение внимание не обращайте, просто запускайте.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    В Опера
    Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...
    В самом низу есть нужное окошко, в котором может быть указана папка
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35
    Да-да, я уже нашел. Действительно, там установлена папка Program Files\Microsoft Common! Стало быть, уши растут из Оперы! Но ведь, по идее, эта папка лишь указывает расположение js-скриптов для выполнения. А там пусто, пока этот svchost там не появится. Дело явно в какой-то оперной уязвимости, не могу придумать других вариантов.
    Сейчас логи повторить не смогу, так как в очередной раз замочил svchost (как-то боязно с ним жить ). А окошки в Опере все закрыл, открываю по одному. Буду отслеживать, появится ли опять и в какой момент.
    Спасибо за помощь!

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    По умолчанию это окошко вообще должно быть пустым. Очистите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    35
    Хм, оказалось не совсем так. Окошко и было пустое. Этот путь - Program Files\Microsoft Common - лишь предлагается по умолчанию, когда пытаешься установить эту папку.
    Теперь я совсем ничего не понимаю. Опера ни при чем? Почему тогда такой специфический путь в ней проявляется? Может быть, нечто эту папку устанавливает, потом (сделав грязное дело) опять очищает, после чего она вылезает только как умолчание при новом выборе? А какое умолчание обычно бывает? Жаль, не у кого посмотреть сейчас.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.ggr ( DrWEB: Win32.HLLW.Autoruner.7176 )
      2. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.hq

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Гондурас, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 22.08.2009, 14:01
    2. Ответов: 22
      Последнее сообщение: 10.07.2009, 22:49
    3. Ответов: 8
      Последнее сообщение: 16.06.2009, 12:39
    4. Ответов: 1
      Последнее сообщение: 07.03.2008, 01:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01424 seconds with 17 queries