PDA

Показать полную графическую версию : Trojan (диск C непонятные файлы)


Страниц : [1] 2

RedEnemy
07-01-2012, 18:25
В общем, в последнее время касперский довольно таки часто ловит "странный вирус". На диске C появляются файлы с расширением .exe и названиями типа 18181.exe, 111888.exe и т.д. Каспер то конечно удаляет все это, но почему они появляются заново - вот в чем вопрос.

S.R
07-01-2012, 20:30
Сделайте логи.

http://forum.oszone.net/thread-98169.html

RedEnemy
13-01-2012, 17:58
Сделал логи, прикрепил к сообщению.

iskander-k
13-01-2012, 18:56
RedEnemy, где логи RSIT ?

Базы АВЗ старые - обновите.

программу teamviewer_вы сами устанавливали ?

RedEnemy
14-01-2012, 20:05
Базы АВЗ старые - обновите.
программу teamviewer_вы сами устанавливали ? »
Базы обновил, teamviewer - да.
Прикрепил новый архив с полными логами.

iskander-k
14-01-2012, 20:22
•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

RedEnemy
15-01-2012, 17:37
Сделал ComboFix, лог прикрепил.

Каспер стал ловить новый вирус (появляется когда как, т.е. при старте системы его может и не быть а потом он может появится), скрин тоже прикрепил.

Доп. лог:
Просканированные объекты: 187009 Времени прошло: 3 минут , 43 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 0 (Вредоносных программ не обнаружено) Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 0 (Вредоносных программ не обнаружено)

S.R
15-01-2012, 19:17
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

KillAll::

FileLook::


File::
c:\users\Владислав\AppData\Roaming\del.bat


DirLook::


Folder::
c:\users\261E~1


Driver::


Registry::


ClearJavaCache::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.


Лог MBAM так и не сделали.

iskander-k
15-01-2012, 19:35
RedEnemy, Что вы делали с системой 2011-12-18 ? Чью сборку установили ?


Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v373.zip)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

RedEnemy
15-01-2012, 21:20
Честно говоря не помню.
Винда офиц. 7 SP1 Максимальная (лицензия).
Лог прикрепил.

RedEnemy
15-01-2012, 23:16
Лог MBAM так и не сделали. »
Новый лог, лог MBAM сделаю завтра.

S.R
16-01-2012, 12:09
Скрипт из поста #8 выполняли? Антивирус во время этого отключали?

Скачайте утилиту Get MBR (http://safezone.cc/forum/downloads.php?do=file&id=45), запустите, нажмите Start. Полученный файл с системного диска заархивируйте и прикрепите в сообщение.

RedEnemy
16-01-2012, 13:45
Скрипт из поста #8 выполняли? Антивирус во время этого отключали?
Скачайте утилиту Get MBR, запустите, нажмите Start. Полученный файл с системного диска заархивируйте и прикрепите в сообщение. »
Лог прикрепил. Ваш скрипт выполнял, лог лежит выше (сам ComboFix все программы выключил у меня).

thyrex
16-01-2012, 16:22
Ничего необычного в логе не увидел

RedEnemy
16-01-2012, 17:15
Ничего необычного в логе не увидел »
Сейчас появляется непонятная дллка с названием типо dll12345.dll в папке program files\mysql\plugins, касперский (KIS 2012) сразу же находит ее, но удалить не может (возможно нужно выключить службу MySQL), дальше просит лечения с перезагрузкой, я соглашаюсь - удалить он ее не может - ребут с ошибками (ошибки винды). После ребута он что-то там проверяет говорит все "ок". Через некоторое время опять появляется дллка и круг повторяется заново. CureIt (Dr.Web) ничего не обнаружил (запуск в безопасном, полная проверка). То что пишет каспер прикрепил с сообщению.

S.R
16-01-2012, 17:29
Загрузитесь в безопасном режиме, скопируйте эту длл на рабочий стол, запакуйте и прикрепите сюда. Очень похоже на ложное срабатывание.

RedEnemy
16-01-2012, 21:10
Сегодня сделал KIS скан жесткого диска (USB, съемный), он нашел в бакапах (ну которые Windows делает) интересные файлы (скрины ниже) могли ли они как-то влиять на работу системы ? И что мне на всякий случай надо сделать (если что-то надо вообще) ?

Т.к. прикреплять большие файлы не могу, выкладываю так (извиняюсь за радикал):
_http://s018.radikal.ru/i500/1201/c0/22cd7a4d7c3e.jpg
_http://s001.radikal.ru/i194/1201/6f/4e4c440936df.jpg

S.R
17-01-2012, 09:21
Если они были в точках восстановления, и Вы не откатывались на эти точки, то нет.

Нажмите Пуск => Выполнить. В окне наберите команду:
Combofix /Uninstall
Нажмите кнопку ОК


Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up


Повторите логи AVZ и RSIT

RedEnemy
17-01-2012, 12:00
Вот сама дллка (появляется с разными названиями): _http://zalil.ru/32515292 (Внимание! Возможно вирус, выложил по просьбе S.R.) лог вирустотала:
Antivirus Result Update AhnLab-V3 Trojan/Win32.Agent 20120116 AntiVir TR/Crypt.XPACK.Gen 20120117 Antiy-AVL - 20120117 Avast Win32:Malware-gen 20120116 AVG Fat-Obfuscated 20120116 BitDefender MemScan:Trojan.Downloader.Msil.H 20120117 ByteHero - 20120111 CAT-QuickHeal Trojan.Redosdru.A 20120117 ClamAV - 20120117 Commtouch - 20120117 Comodo UnclassifiedMalware 20120117 DrWeb - 20120117 Emsisoft Virus.Fat.Obfuscated!IK 20120117 eSafe - 20120115 eTrust-Vet - 20120116 F-Prot - 20120116 F-Secure Packed:W32/PeCan.A 20120117 Fortinet W32/ResDro.B!tr 20120117 GData MemScan:Trojan.Downloader.Msil.H 20120117 Ikarus Virus.Fat.Obfuscated 20120117 Jiangmin - 20120116 K7AntiVirus Trojan 20120113 Kaspersky UDS:DangerousObject.Multi.Generic 20120117 McAfee Downloader.a!qu 20120117 McAfee-GW-Edition Downloader.a!qu 20120116 Microsoft TrojanDownloader:Win32/Hesto.A 20120117 NOD32 - 20120117 Norman W32/Redosdru.LS 20120116 nProtect - 20120117 Panda Trj/CI.A 20120116 PCTools - 20120117 Prevx - 20120117 Rising Trojan.Win32.Generic.127FF88E 20120116 Sophos Mal/ResDro-B 20120117 SUPERAntiSpyware - 20120114 Symantec WS.Reputation.1 20120117 TheHacker - 20120116 TrendMicro - 20120117 TrendMicro-HouseCall - 20120117 VBA32 - 20120116 VIPRE Trojan.Win32.Generic!BT 20120117 ViRobot - 20120117 VirusBuster - 20120116
При попытке выполнить пишет что не может найти Combofix, OT сейчас поставлю.
После OT логи: _http://zalil.ru/32515529 (не хватает места тут).

thyrex
17-01-2012, 14:07
Будет детектироваться как Trojan-Downloader.Win32.FraudLoad.iei

Вопрос: обновления для MS SQL все установлены?




© OSzone.net 2001-2012