Показано с 1 по 18 из 18.

JS/Exploit.Pdfka.AYZ (заявка № 66862)

  1. #1
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52

    Question JS/Exploit.Pdfka.AYZ

    Здравствуйте. Сижу читаю форум Античат, зашёл в тему. Как-то автоматом нажал на скриншот - меня перебросило на хостинг изображений, моментально среагировал NOD32 Antivirus и показал вирус JS/Exploit.Pdfka.AYZ.троянская программа по адресу _http://klokolk.in/goog_lemsn/pdf.php и тут же закрылся. Начал его искать в процессах - его нету. Зашёл в папку Programm Files и запусти его вручную. Теперь пытаюсь открыть бразузер - не открывается, причём любой Mozilla, Opera, IE. Также не открывается Total Commander, WinRAR и др, пробовал немногое. Была включена ICQ, написал друзьям - они мне нашли информацию в Гугле, сказали удалить кэш в папке с Mozilla по адресу C:\Documents and Settings\My_Profile\Application Data\Mozilla и очистить папку Temp по адресу C:\Documents and Settings\My_Profile\Local Settings\Temp, я скинул себе на флешку и пытался удалить файлы, но не удалялся файл e.dll (свежесозданный) и файл snfDD6.tmp. Я решил перезагрузить компьютер и зайти в безопасный режим, но нажимая F8 нету у меня выбора безопасного режима, появляется окно где нужно выбрать с какого диска грузить ОС. Включил я компьютер, зашёл и теперь полностью удалил папку Temp. До первой перезагрузки включал сниффер (SmartSniff). Вирус стучался:
    Host: 239.255.255.250:1900
    Location: http://192.168.1.1:5437/dyndev/uuid:дальше идёт какой-то код...
    Код:
    Ещё стучится на:
    POST /vgame/a/games.php HTTP/1.1
    Host: mezdunar3net.com
    И сейчас когда пишу сообщение, включил сниффер - отстукивает на эти 2 адреса.

    Логи по правилам сделал. Очень надеюсь на вашу помощь. Это не почистить файл hosts , я понятия не имею что делать
    Последний раз редактировалось pig; 11.01.2010 в 23:07. Причина: убрал опасную ссылку

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\93cd.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\93cd.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
     BC_ImportAll;
    ExecuteSysClean;
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Сделал всё по инструкции, новые логи прикрепил, карантин отправил
    Файл сохранён как 100112_144448_virus_4b4c60b039ac8.zip
    Размер файла 382032
    MD5 373098a46202215ffcbe1231c2f19954
    После перезагрузки стало появляться окно: Установка нового оборудования - пишет: новое оборудование Нет данных и выбор с диска или с HDD устанавливать.
    Ещё AVZ создал в папке LOG архив virusinfo_cure.zip, его никуда не отправлял. Когда делал анализ "Скрипт сбора информации для раздела "Помогите!" virusinfo.info", то Интернет был выключен. В правилах написано, что нужно включить, но т.к. gjf написал включить Интернет после логов, то я его и не включал. Спасибо, очень жду, что мне делать дальше
    Последний раз редактировалось AutoPy4ka; 12.01.2010 в 14:55.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\Windows\System32\Drivers\Sfloppy.SYS','');
     BC_ImportAll;
     SetAVZPMStatus(false);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится. Пришлите карантин ещё раз.

  6. #5
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Выполнил скрипт. Захожу в карантин - файлов для отмечания нет. В папке \avz4\Quarantine\2010-01-12 есть 2 файла bcqr00001.dta и bcqr00002.dta, каждый размером 11 392 байт

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Миссия выполнена
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

  8. #7
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Спасибо! А что с тем файлом (Sfloppy.SYS), он же не попал в карантин и я его не отправил, это окно с установкой нового оборудования снова будет вылетать?
    Сниффером смотрел, вроде никто никуда не стучится. Этот вирус никакие порты на моей машине не открыл? Есть ли предположения какие у него функции были? Никаких просьб с отправкой SMS не было. И как такое может быть, что заходишь на Хостинг картинок и тебе грузится такая хрень. Кроме Радикала больше нигде не открываю .
    Ещё я скидывал на флешку папку C:\Documents and Settings\<ваше_имя_пользователя>\Local
    Settings\Application Data\Mozilla\Firefox\Profiles\<рандомный_набор_сим волов>.default - могу ли я её вернуть на прежнее место? (Там все мои настройки/закладки).
    Спасибо за лечение, надеюсь ответите на мои вопросы.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Окна больше не будет, оно было нужно для диагностики.
    Сейчас у Вас куча уязвимостей, поскольку не стоят последние обновления системы. Вирусов нет, но если не предпримите меры - появятся

  10. #9
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Отстук на какой-то IP адрес продолжается
    SmartSniff
    Код:
    NOTIFY * HTTP/1.1 
    HOST: 239.255.255.250:1900
    CACHE-CONTROL: max-age=1800
    Location: http://192.168.1.1:5431/dyndev/uuid:тут идёт какой-то код (цифры+буквы)
    NT: upnp:rootdevice
    NTS: ssdp:alive
    SERVER:LINUX/2.4 UPnP/1.0 BRCM400/1.0

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Вы так быстро обновились?

  12. #11
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Я не обновлялся. У меня стоит ZverCD... Как я обновлюсь с сайта Microsoft'a...
    Думал, что вирусов уже нет, хотел оставить всё как и было раньше (. Где он может сидеть, какими программами мне ещё протестироваться?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    ZverCD уже давным-давно с СП3 выходит. И в нете куча способов варезного обхода защиты Microsoft, то есть как СП3 поставить на пиратку. Здесь это - не тема для обсуждения, но Гугль в помощь.

    Сразу скажу, что с SP2 на данный момент машина, имеющая выход в интернет, будет без вирусов ну максимум сутки

  14. #13
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    SP2 долго уже стоит, а вот вчера подцепил эту чушь. Как его поймать, какие логи сделать?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Я Вам русским языком сказал, что сейчас всё чисто и тем же самым языком сказал, что сделать, чтобы этого не повторилось. Что неясно?
    Маты здесь не приветствуются, потрудитесь изъясняться корректно.

  16. #15
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Цитата Сообщение от gjf Посмотреть сообщение
    Что неясно?
    Кто стучится на этот странный адрес. Как узнать кто это и обезвредить

    Добавлено через 3 часа 11 минут

    Пробив этот IP в Гугл и Яндекс вылетело много тем.
    http://support.microsoft.com/default...b;en-us;317843
    http://virusinfo.info/showthread.php?t=9203

    Получается вирус включил эту службу или прописал что-то в реестре (на сайте Микрософта написано что-то про реестр, но по английски не понимаю что там конкретно, переводчик переводит коряво)? Потому что раньше я тоже смотрел сниффером пакеты и ни разу такого отстука не видел... Что лучше сделать? Вырубить службу или оставить как есть. После пойду обновляться

    Добавлено через 17 минут

    Ещё нашёл тему http://forum.xakep.ru/m_1532655/mpage_1/key_/tm.htm
    Тут пишen про uTorrent и как раз им я пользовался за день до этого вируса (uTorrent стоял давно и до этого я им тоже пользовался)
    Последний раз редактировалось AutoPy4ka; 12.01.2010 в 20:05. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Перезагрузил компьютер, снова появляется окно о новом устройстве, скриншот во вложении. Сделал снова логи, посмотрите пожалуйста и другие Хелперы, одна голова хорошо, а две лучше. Очень жду (

  18. #17
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    10
    Вес репутации
    52
    Извините, что поднимаю тему. Понимаю, что таких как я много, но не переустанавливать же Windows . Помогите найти этого зловреда, который стучится на неизвестный IP

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sdra64.exe - Packed.Win32.Katusha.j


  • Уважаемый(ая) AutoPy4ka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Exploit.JS.Pdfka.exr
      От Eragog в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.10.2011, 11:09
    2. Вирус Exploit.JS.Pdfka.efe
      От OVG в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.07.2011, 23:30
    3. Ответов: 1
      Последнее сообщение: 06.08.2010, 09:39
    4. JS/Exploit.Pdfka.NUC (Nod32)
      От nexen в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.06.2010, 13:04
    5. Ответов: 12
      Последнее сообщение: 21.03.2009, 12:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00140 seconds with 19 queries