Решена Вирусы-трояны. Логи
- Автор темы Indomito
- Дата начала
- Статус
Indomito
Активный пользователь
- Сообщения
- 51
- Реакции
- 32
akoK Приветствую.
И так по порядку...
1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.
Так это пред история.
Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
- Trojan.DownLoader1.14329
- Trojan.Siggen1.61396
Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...
Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.
После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.
Запомнил только инф. файлы по именам и расположению.
C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
C:\WINDOWS\system32\player.exe
В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):
Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.
Добавлено через 1 час 24 минуты 47 секунд
Ничего не нашли... думаю тему можно прикрыть.
И так по порядку...
1. Меня не было дома и с моего компа зашли на два ресурса (жена клянётся что только на эти два) http://ivi.ru/ и на http://www.megashara.com/ с перенаправлением на http://watch.do/ те на online-фильмы. Второй ресурс был неоднократно замечен в различных блокираторах, я про http://www.megashara.com/ , а на http://watch.do/ вроде чисто, но не проверял.
Так это пред история.
Запускается процесс UPDATE.EXE и начинает просить права на доступ к инету и тд, первый раз я запретил, почистил и нашёл сканером:
- Trojan.DownLoader1.14329
- Trojan.Siggen1.61396
Проверял через - http://www.virustotal.com/ru/ это по базе DrWeb (его диагностика) к сожалению ни файлы ни результат не сохранился...
Действие: Это "Стриптиз на рабочем столе" с попыткой соединтся с сайту для загрузки ещё большего количества "девушек" естественно за SMS.
После отработки cureit, через 2-3 часа опять попытка установки, ну я поставил что бы оно успокоилось и почистил папки и секцию авто запуска и поднял уровень защиты у антивируса.
Запомнил только инф. файлы по именам и расположению.
C:\Documents and Settings\SASA\Local Settings\Temp\a.exe
C:\Documents and Settings\SASA\Local Settings\Temp\b.exe
C:\WINDOWS\system32\player.exe
В дополнение фрагмент лога от антивируса (это при каждом рестарте, я знаю что пережал по защите, но мало ли...):
Вот "в кратце и всё"... сорри что так много, просто попытался описать максимально подробно.
Добавлено через 1 час 24 минуты 47 секунд
Ничего не нашли... думаю тему можно прикрыть.
Последнее редактирование:
- Сообщения
- 22,018
- Реакции
- 14,326
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Indomito
Активный пользователь
- Сообщения
- 51
- Реакции
- 32
akoK, Прикладываю результат.
Посмотреть вложение mbam-log-2010-07-08 (20-07-18).txt Папка D:\NO_CHECK\ создана специально для обхода проверки McAfee.
Посмотреть вложение McAfee_AccessProtectionLog.txt Сейчас отключил контроль вирусных эпидемий... может что и проявится.
Посмотреть вложение mbam-log-2010-07-08 (20-07-18).txt Папка D:\NO_CHECK\ создана специально для обхода проверки McAfee.
Посмотреть вложение McAfee_AccessProtectionLog.txt Сейчас отключил контроль вирусных эпидемий... может что и проявится.
Indomito
Активный пользователь
- Сообщения
- 51
- Реакции
- 32
Indomito
Активный пользователь
- Сообщения
- 51
- Реакции
- 32
akoK, ты про ресурс _http://ero.ru или про комп?
И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.
PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.
И ещё, что за спецификация Trojan.Siggen, те я про Siggen. Я поискал в базах так и не понял общей взаимосвязи.
PS Кстати во многих архивах иногда встречается такое... не просто пароль, а меню с отправкой SMS для получения пароля, я проверял их они тоже определяются как Trojan.Siggen.
- Статус