Показано с 1 по 20 из 20.

Убил или не совсем? (заявка № 9398)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75

    Thumbs up Убил или не совсем?

    "Уж сколько раз твердили миру" (с) - не пользуйтесь кряками...
    При попытке запустить генератор серийников для одной из программ (предварительно проверенный и каспером со свежими базами и AVZ), заорала проактивка каспера и тут же появился некий процесс svchоst, который начал ломиться в и-нет по адресу некого "хакерского" сайта... Тут же завопил Scotty (WinPatrol), что некий файл из папки temp желает запускаться в автозагрузке... Это его желание было убито в корне, после чего при исследовании папки System32 был обнаружен некий файл svchоst.exe размером 33 кило и с мутными свойствами (т.е. совсем без оных: ни фирмы производителя, ни версиии)... Файл был убран в архив под паролем...
    При последующих проверках каспером и AVZ все вроде бы нормально, но на всякий случай помещаю логи...
    Архив с предполагаемым зверем закачан по правилам:
    Результат загрузкиФайл сохранён как 070501_014237_svchоst_463662cdd8696.zip
    Размер файла 31908
    MD5 b3738082050d24fb5687ef9c728a6e76

    Файл закачан, спасибо!
    Последний раз редактировалось ed13; 27.05.2007 в 03:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\WINNT\System32\VGA.dll','');
    QuarantineFile('D:\WINNT\system32\svchоst.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите содержимое карантина согласно приложению 3 правил.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Bratez, нелегальный svchоst я убрал сразу вручную и поместил в тему по правилам, смотрите в первом сообщении... Поэтому в карантине его нет...
    Карантин помещен в тему... Файл сохранён как 070501_103150_virus_4636ded689a8f.zip
    Размер файла 83670
    MD5 3c679273eae64a9139b891defe1dfa1

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от ed13 Посмотреть сообщение
    Bratez, нелегальный svchоst я убрал сразу вручную и поместил в тему по правилам...
    Имя у него хорошее - svchоst

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Shu_b Посмотреть сообщение
    Имя у него хорошее - svchРѕst
    Ну это вопрос кодировки . У меня он так выглядит
    Код:
    D:\WINNT\system32\svchоst.exe
    Проблема в том, что в карантин он не попал. А попавшие файлы - чистые.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Rene-gad, он и не мог попасть, потому как уже изолирован... Я его сразу убрал из системной папки и заархивировал с паролем... Положил в тему сразу же после первого собщения...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от ed13 Посмотреть сообщение
    .. Положил в тему сразу же после первого собщения...
    Архив пуст, сорри.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Повторил загрузку...
    Файл сохранён как 070501_122743_2007-05-01-01_4636f9ff61e12.ZIP
    Размер файла 32038
    MD5 5240ac6b6b0b376dabb7785488864c

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот результат проверки вашего "левого" svchost'a (буква "о" у него русская"):
    [ file data ]
    * name: =?koi8-r?Q?svch=CFst.exe?=
    * size: 33112
    * md5.: 2bf1135f9629e17646c725f8de6722ad
    * sha1: 549e585a511f0bfc999a0b0edcae47684c4a4a0a

    [ scan result ]
    AhnLab-V3 2007.4.30.1/20070430 found nothing
    AntiVir 7.4.0.15/20070430 found [TR/Crypt.XPACK.Gen]
    Authentium 4.93.8/20070430 found nothing
    Avast 4.7.981.0/20070430 found nothing
    AVG 7.5.0.467/20070430 found nothing
    BitDefender 7.2/20070501 found nothing
    CAT-QuickHeal 9.00/20070430 found [(Suspicious) - DNAScan]
    ClamAV devel-20070416/20070501 found nothing
    DrWeb 4.33/20070430 found nothing
    eSafe 7.0.15.0/20070430 found [Suspicious Trojan/Worm]
    eTrust-Vet 30.7.3608/20070501 found nothing
    Ewido 4.0/20070430 found nothing
    F-Prot 4.3.2.48/20070430 found nothing
    F-Secure 6.70.13030.0/20070430 found nothing
    FileAdvisor 1/20070501 found nothing
    Fortinet 2.85.0.0/20070501 found [suspicious]
    Ikarus T3.1.1.5/20070430 found nothing
    Kaspersky 4.0.2.24/20070501 found nothing
    McAfee 5020/20070430 found nothing
    Microsoft 1.2405/20070501 found nothing
    NOD32v2 2232/20070501 found nothing
    Norman 5.80.02/20070430 found nothing
    Panda 9.0.0.4/20070430 found nothing
    Prevx1 V2/20070501 found nothing
    Sophos 4.17.0/20070428 found [Mal/Basine-C]
    Sunbelt 2.2.907.0/20070419 found nothing
    Symantec 10/20070501 found nothing
    TheHacker 6.1.6.095/20070415 found nothing
    VBA32 3.11.4/20070430 found nothing
    VirusBuster 4.3.7:9/20070430 found nothing
    Webwasher-Gateway 6.0.1/20070501 found [Trojan.Crypt.XPACK.Gen]

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Несмотря на то, что, его уже "нет на месте", выполните скрипт для удаления:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINNT\system32\svchоst.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и после перезагрузки сделайте новые логи.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bratez Посмотреть сообщение
    буква "о" у него русская
    т.е. Made in Russia

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    А вот и ответ на него от аналитиков ЛК
    Здравствуйте.

    В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
    Trojan-PSW.Win32.LdPinch.bno
    Его детектирование будет включено в очередное обновление антивирусных баз.
    Благодарим за оказанную помощь.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от anton_dr Посмотреть сообщение
    А вот и ответ на него от аналитиков ЛК...
    Код:
    Благодарим за оказанную помощь.
    Чем большое спасибо лучше бы бокальчик пива налили, сачки .
    SCNR

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Скрипт выполнил, вот новые логи...Жду заключения...
    Конечно приятно поспособстовать ЛК в поимке нового зверя, отсутствующего в базах, но слишком хлопотно такой ценой...
    Кстати, возраст файлика уже пара месяцев как минимум, странно, что он никому из вендоров не попадался...
    Вложения Вложения
    Последний раз редактировалось ed13; 27.05.2007 в 03:51.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    С пинчем разделались, и все бы хорошо, только вот это озадачивает:
    >>> Код руткита в функции .... нейтрализован
    ...
    >> Маскировка драйвера: Base=B621C000, размер=86016, имя = "\SystemRoot\System32\VGA.dll"
    Попробуйте в AVZ выполнить стандартный скрипт #1 и поискать этот VGA.dll через "Сервис" - "Поиск файлов на диске". Если найдется - пришлите по правилам.

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    VGA.dll - говорят, всегда так отображается на Windows 2000.

    Что ни говори, а дамрай следит за тенденциями.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Bratez, эт от файл присутствует в первом присланном карантине...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Bratez, эт от файл присутствует в первом присланном карантине...
    Действительно, прошу прощения... Это я после 1 мая был не совсем проснувшись Файл этот чистый, так что теперь у вас все должно быть ОК.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Большое спасибо за оперативную и профессиональную помощь!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. \\2007-05-01-01\\svchоst.exe - Trojan-PSW.Win32.LdPinch.bno (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) ed13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Система совсем завирусована
      От alik12a в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 14.10.2011, 15:02
    2. совсем беда :D
      От sheff4 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.04.2011, 03:21
    3. Совсем беда
      От dssyn в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.07.2010, 15:16
    4. get accelerator, нет интернета, совсем...
      От losky в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 12.12.2009, 15:29
    5. Совсем одолели трояны!!!
      От Андрей С в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 21.09.2006, 13:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01476 seconds with 20 queries