Показано с 1 по 12 из 12.

проверьте пожалуйста логи (заявка № 58876)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    10
    Вес репутации
    30

    Thumbs up проверьте пожалуйста логи

    Добрый день,

    Вчера получил троян через скайп. Зараженный аккаунт друга рассылал всем контактам файл с именем скайп юзера и расширением .scr. По несчастливому совпадению, я примерно в это время ждал текстовый файл от другого пользователя, и поспешил обрадоваться что это наверно он, и принял и открыл этот файл, прежде чем подумал что это. Постоянно обновляемые zonealarm и nod32 никак не реагировали, через пол-часа мой скайп сам стал рассылать всем моим контактам файл с именем моего скайп юзера и расширением .scr.

    Сканирование нодом и zonealarm'ом ничего не выяывило, просканировал систему при помощи Trend Micro Housecall (1 зараженный файл удален), Malwarebytes' Anti-Malware (6 зараженных фалов) и Kaspersky AVPTool (1 зараженный файл удален). После этого ничего больше выявлено не было, сделал сканирование системы в соответствии с правилам. Логи прикрепляю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    В логах чисто,
    Установите SP3 + все последние обновления безопасности (может потребоваться повторная активация), обновите Interet Explorer до 8 версии

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    10
    Вес репутации
    30
    спасибо за быстрый ответ, будем обновляться.

  5. #4
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    10
    Вес репутации
    30

    снова проблемы

    здравствуйте снова.

    снова начали активизироваться трояны и посторонние процессы на компьютере через неделю после первого поста, честно говоря не уверен связаны ли эти два случая, тем не менее.

    проблема сначала проявилась тем, что каким-то образом само просило запуститься отключенное восстановление системы, процесс этот я убивал, после перезагрузки он еще пару раз возобновлялся. в то же время фаервол zonealarm стал извещать о том что якобы nod32, а точнее приложение ekrn.exe из его папки, пытается рассылать подозрительные имейлы - более 5 штук за 2 секунды. пытался запретить нажимая deny, но в скором времени это оповещение стало появляться постоянно, независимо разрешаешь или запрещаешь этот процесс. никаких поверхностных следов того что я рассылаю пачками имейлы не нашел.

    вскорости nod32 стал обнаруживать и изолировать файлы, просканировал и удалил еще по пару зараженных файлов при помощи malwarebytes, micro trends housecall, после каждой перезагрузки обнаруживается еще что-то каждым из этих средств.

    в соответствии с правилами прогнал в безопасном режиме AVPTool, потом сделал логи. посмотрите пожалуйста.

    и да, снова фаервол zonealarm выдает сообщения одно за одним что приложение eset service ekrn.exe, одно из экзешек в папке ESET NOD32 Antivirus пытается слать имейлы.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\restorer32_a.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\iidwin32.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\iidwin32.exe');
     DeleteFile('C:\Documents and Settings\Администратор\restorer32_a.exe');
     DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer32_a');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

    Сделайте новые логи

  7. #6
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    10
    Вес репутации
    30
    карантин закачан, вот свежие логи:
    Вложения Вложения

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится

    Сделайте новый лог virusinfo_syscheck.zip

  9. #8
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    10
    Вес репутации
    30
    готово. новый syscheck:

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Что с проблемой?

  11. #10
    Junior Member Репутация
    Регистрация
    31.10.2009
    Сообщений
    10
    Вес репутации
    30
    пока все тихо, нод32 зараженных файлов сразу после перезагрузки не находит, поставил на сканирование, пока ничего не обнаружило. про несанкционированную рассылку имейлов приложением ekrn.exe тоже ничего больше нету. процесса восстанавливающего system restore тоже больше не видно.

    отпишу по состоянию когда просканирую всеми доступными средствами или проявятся старые или новые признаки проблемы.

    а что показал последний лог?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    В логе чисто

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.gmv ( DrWEB: Trojan.DownLoad.61675, NOD32: Win32/Wigon.HT trojan )
      2. c:\documents and settings\администратор\главное меню\программы\автозагрузка\iidwin32.exe - Backdoor.Win32.Bredolab.baj ( DrWEB: Trojan.Botnetlog.11, BitDefender: Trojan.Packed.Hiloti.Gen.2, AVAST4: Win32:Hiloti-K [Trj] )
      3. c:\windows\system32\restorer32_a.exe - Trojan-Downloader.Win32.Mutant.gmv ( DrWEB: Trojan.DownLoad.61675, NOD32: Win32/Wigon.HT trojan )


  • Уважаемый(ая) schmoltz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проверьте логи пожалуйста.
      От DnK78rus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2011, 16:06
    2. проверьте, пожалуйста, логи
      От xWizz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.10.2010, 16:07
    3. проверьте, пожалуйста, логи!
      От happy_angel.17 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.06.2010, 21:34
    4. Проверьте пожалуйста логи
      От KZN_roman в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 06:20
    5. Проверьте пожалуйста логи
      От steffi в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.10.2008, 00:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01440 seconds with 17 queries