Показано с 1 по 9 из 9.

подозрение на spyware (заявка № 70465)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    23.10.2007
    Сообщений
    15
    Вес репутации
    41

    Exclamation подозрение на spyware

    Есть подозрение на промышленный шпионаж (часть моих файлов оказалась у конкурента). CounterSpy нашел несколько троянов, самые подозрительные (ну часть была в кейгенах на диске с дистрибутивами): C:\WINDOWS\system32\drivers\nnkey.sys, C:\WINDOWS\system32\dllcache\wmiadap.exe, C:\WINDOWS\system32\wbem\wmiadap.exe. Могли ли эти (или другие) программы выслать что-либо (файлы doc, tiff, xls) в инет?
    Последний раз редактировалось Max_C; 26.05.2010 в 11:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    O1 - Hosts: 195.234.108.253 cmeptb
    O1 - Hosts: 216.55.133.9 handybackup.com www.handybackup.com www.softlogica.com softlogica.com
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    В AVZ выполните скрипт:

    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     TerminateProcessByName('c:\program files\eka2\eka.exe');
     QuarantineFile('D:\capture_one.bat','');
     QuarantineFile('C:\second_boot.cmd','');
     QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
     StopService('nnkey');
     QuarantineFile('c:\program files\eka2\eka.exe','');
     QuarantineFile('C:\WINDOWS\system32\ridocport.dll','');
     QuarantineFile('C:\Program Files\EKA2\aragh.dll','');
     QuarantineFile('C:\Downloads\Old\Programs\winamp182.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sbaphd.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\nnkey.sys','');
     DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\11100934000016507ul25uu10t\fssclient_x86.msi');
     DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\8b1d925c1c9a304\fssclient_x86.msi');
    DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
     AddToLog(inttostr(BC_ServiceKill('vtgmrkm')) );
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RemoteRegistry', 4);
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU',2,2,true);
     RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите + в дополнение сделайте лог Gmer
    Файл hosts сами правили?
    Следущие программы сами устанавливали?
    C:\Program Files\Handy Backup\
    C:\Program Files\Transmission Remote GUI\
    проверьте их настройки.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    23.10.2007
    Сообщений
    15
    Вес репутации
    41
    Я не совсем правильно понял, обновил логи в первом посте.. я так понимаю, нужно было в новом прикреплять...
    C:\Program Files\Handy Backup\ устанавливал, но снесу т.к. не пользуюсь.
    C:\Program Files\Transmission Remote GUI\ это оболочка линуксового торрент-клиента (на медиаплеере)
    hosts правил сам

  5. #4
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    23.10.2007
    Сообщений
    15
    Вес репутации
    41
    посмотрите пожалуйста,
    Функция NtCreateKey (29) перехвачена (806237B2->B9EA80E0), перехватчик spuz.sys
    Функция NtEnumerateKey (47) перехвачена (80623FF2->B9EC6CA2), перехватчик spuz.sys
    Функция NtEnumerateValueKey (49) перехвачена (8062425C->B9EC7030), перехватчик spuz.sys
    Функция NtOpenKey (77) перехвачена (80624B84->B9EA80C0), перехватчик spuz.sys
    Функция NtQueryKey (A0) перехвачена (80624EAA->B9EC710, перехватчик spuz.sys
    Функция NtQueryValueKey (B1) перехвачена (806219EA->B9EC6F8, перехватчик spuz.sys
    Функция NtSetValueKey (F7) перехвачена (80621D38->B9EC719A), перехватчик spuz.sys
    название файла перехватчика после каждой перезагрузки разное. spyw.sys, spyz.sys, spuz.sys... Поиском файл не находится
    Последний раз редактировалось Max_C; 08.02.2010 в 13:11.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Проверьтесь этим http://support.kaspersky.ru/viruses/...?qid=208636926
    О результатах сообщите.
    Выполните скрипт в аттаче результат из корня диска С c:\avz_log.txt или из папки AVZ\Log прикрепите к сообщению.
    ScanVuln.txt
    ==
    посмотрите пожалуйста,
    Функция NtCreateKey (29) перехвачена (806237B2->B9EA80E0), перехватчик spuz.sys
    это нормальные перехваты.

  7. #6
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    23.10.2007
    Сообщений
    15
    Вес репутации
    41
    TDSkiller ничего не нашел, avz_log во вложении..
    Вопрос: возможно ли, что примененные утилиты не увидели вирус, мои конкуренты - серьезные ребята, могли нанять хороших специалистов..
    Последний раз редактировалось Max_C; 26.05.2010 в 11:08.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    23.10.2007
    Сообщений
    15
    Вес репутации
    41
    up

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Цитата Сообщение от Max_C Посмотреть сообщение
    Вопрос: возможно ли, что примененные утилиты не увидели вирус
    если подозреваете кражу информации, то скорее не вирус, а троян. Возможно, но маловероятно.
    В логах ничего зловредного не нахожу. Adobe Flash Player обновите.
    Подумайте что из этого вам не нужно:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: разрешен автоматический вход в систему
    Если у вас серьезная организация\бизнес о защите нужно побеспокоиться заранее, а теперь уж и подавно. И не забывайте про надежные пароли. Также проверьте возможность физического доступа к вашей машине.
    Рекомендую почитать книгу Николая Головко «Безопасный Интернет. Универсальная защита для Windows ME - Vista» http://www.security-advisory.ru/

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 26
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Max_C, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Spyware
      От FLIPMIGyLa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.10.2010, 21:57
    2. подозрение на spyware.
      От rrr2009 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 20.03.2009, 12:28
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 17:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00632 seconds with 17 queries