Показано с 1 по 11 из 11.

Есть подозрение... (заявка № 89792)

  1. #1
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30

    Есть подозрение...

    Не то чтобы "Помогите! "... Просто не могу разобраться - кто виноват - вирус или виндус? Они так похожи... В общем, появились некоторые странности:

    - дважды за неделю в temp-e обнаруживался и удалялся exploit.java.agent.ea,

    - ПОСЛЕ воспроизведения в media player classic интернет-потока с сайта mms://live.rfn.ru/orfey/ касперский каждый раз ругается на вредоносный объект по адресу /orfey/ (в отчёте фигурирует также *.google.com.bokae.cn и сам плеер).

    Ну и самое интересное... через секунду после запуска прячется (и остаётся висеть в процессах) drWeb CureIT, работающий в режиме усиленной защиты. Будучи запущенным непосредственно из temp-a или в безопасном режиме, ничего не находит. К чему бы это?
    Последний раз редактировалось Postscripter; 13.10.2010 в 15:05. Причина: up

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    UP! И тигры у ног моих сели...

    Обновил джаву-машину. На всякий случай.
    drweb касперский avz autoruns procexp = чисто
    RootkitRevealer запускать влом...
    Малварбайт нашёл чего-то, но я ему не верю. Прикладываю отчёт и карантин

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3021
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    Ключ userinit.exe пустой... удалил всё равно.
    Visicom media - производитель программы AceHTML, которой я пользуюсь постоянно. На кой его удалять? Прикладываю ветку реестра HKEY_CURRENT_USER\Software\Visicom Media

  6. #5
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    Кстати, забыл добавить. Вчера пропал симптом №2 (из первого сообщения). Media player classic перестал (failed to render the file) открывать адрес mms://live.rfn.ru/orfey/ и следолвательно касперский больше не ругается. Воспроизводится поток исключительно через GOM-player, при этом срабатываний не происходит.

    Доктор веб по-прежнему прячется в обычном режиме и ничего не находит в безопасном.

  7. #6
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    всё понятно... :вздыхает:

  8. #7
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    Ау... Где же все?

    Вот опять сегодня, во время быстрой проверки:

    C:\Temp\jar_cache6869250394654908628.tmp/Chat7b77918.class

    (Trojan-Downloader/Java/OpenConnection.db)

    а также
    C:\Temp\jar_cache3212186188025062436.tmp
    C:\Temp\jar_cache5634364160136758825.tmp
    C:\Temp\jar_cache6869250394654908628.tmp
    C:\Temp\jar_cache6986837167738635849.tmp
    C:\Temp\jar_cache7001934757699548717.tmp
    C:\Temp\jar_cache7276913742875541956.tmp

    Неужели здесь нет никого?

    Добавлено через 3 минуты

    Половина не определяется антивирусом. Высылаю по ссылке вверху.

    Добавлено через 3 часа 38 минут

    Проверил - вирусы (иногда не детектируемые) появляется при заходе на сайт

    хттп://aforizer.com/lego.php?pageid=282&cat=read

    При этом касперский блокирует загрузку вредоносного php скрипта

    хттп://aa1910dcvs.com/s4/jlfqxsgtcldqkrkmjnh.php

    , но джава-машина всё равно запускается с ключом

    "C:\Program Files\Java\jre6\bin\java.exe" -D__jvm_launched=31222599858 -Xbootclasspath/a:C:\PROGRA~1\Java\jre6\lib\deploy.jar;C:\PROGRA~1 \Java\jre6\lib\javaws.jar;C:\PROGRA~1\Java\jre6\li b\plugin.jar -Djava.class.path=C:\PROGRA~1\Java\jre6\classes -Dsun.awt.warmup=true sun.plugin2.main.client.PluginMain write_pipe_name=jpi2_pid5288_pipe2,read_pipe_name= jpi2_pid5288_pipe1


    И в это же самое время опера предлагает сохранить какой-то pdf файл, вероятно тоже заражённый.

    Написал на newvirus, но ответа пока нет. Скажите же наконец, чем меня заразили и как это лечить?
    Последний раз редактировалось Postscripter; 21.10.2010 в 17:58. Причина: Добавлено

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,556
    Вес репутации
    3021
    Кэш Java очистите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    Да, уже. Всё равно появляется, в частности после захода на вышеупомянутый сайт, который ДО СИХ ПОР отсутствует в базах касперского

    Добавлено через 1 минуту

    И доктор, который веб, не пашет. Как будто ему по таймеру каждые 2 секeнды делают showwindow(drweb,sw_hide);

    Добавлено через 32 минуты

    вирус, если таковой и есть, я думаю выполнен в виде dll-ки, подрубающейся к оконным приложениям - если закрыть всё кроме консоли, cureIT работает и не отключается. Потом запускаю проводник - и тоже всё хорошо. Перезагружаю комп - начинается сначала. И пока не будет закрыто последнее окно в систме, DrWeb висит в памяти трупом.

    Добавлено через 32 минуты

    Запустил rootkit revealer. Насторожило следующее:

    HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C0DCEB1F-C04F-0E01-CBFA-251058FE17DB}* 27.02.2010 4:04 0 bytes Key name contains embedded nulls (*)

    HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C6FF4DF5-66BB-4299-B1DC-A1E7449176BF}* 15.09.2010 14:17 0 bytes Key name contains embedded nulls (*)

    HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{FD5664AD-29B3-B370-258A-A4978A59864F}* 27.02.2010 3:58 0 bytes Key name contains embedded nulls (*)




    Пытался прочитать через IceSword, но он моментально выдал синий экран
    Последний раз редактировалось Postscripter; 22.10.2010 в 21:56. Причина: Добавлено

  11. #10
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    30
    решено

    хахаах... Вы когда-нибудь сталкивались с таким - антивирусу мешает работать mail agent... Закрываю - работает, открываю - не работает Накой ему это надо?
    Последний раз редактировалось Postscripter; 24.10.2010 в 21:44. Причина: Добавлено

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. \\новая папка\\jar_cache3212186188025062436.tmp - Exploit.Java.Agent.en ( DrWEB: archive: Java.Siggen.29 )
      2. \\новая папка\\jar_cache5634364160136758825.tmp - Exploit.Java.Agent.en ( DrWEB: archive: Java.Siggen.29 )
      3. \\новая папка\\jar_cache6869250394654908628.tmp - Trojan-Downloader.Java.OpenConnection.bf ( DrWEB: archive: Java.Downloader.127 )
      4. \\новая папка\\jar_cache6986837167738635849.tmp - Trojan-Downloader.Java.OpenStream.ax ( DrWEB: archive: Java.Downloader.125 )
      5. \\новая папка\\jar_cache7001934757699548717.tmp - Trojan-Downloader.Java.OpenStream.ax ( DrWEB: archive: Java.Downloader.125 )
      6. \\новая папка\\jar_cache7276913742875541956.tmp - Trojan-Downloader.Java.OpenConnection.bf ( DrWEB: archive: Java.Downloader.127 )


  • Уважаемый(ая) Postscripter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 27.06.2012, 14:42
    2. Ответов: 1
      Последнее сообщение: 29.07.2011, 04:57
    3. Есть подозрение что есть вирус
      От expe в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.04.2009, 10:10
    4. Есть подозрение
      От AVT35 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.03.2009, 23:19
    5. Есть подозрение
      От pomy в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.03.2008, 21:36

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00678 seconds with 16 queries