Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Trojan (диск C непонятные файлы) (http://forum.oszone.net/showthread.php?t=224670)

RedEnemy 07-01-2012 18:25 1830328
Trojan (диск C непонятные файлы)
 
В общем, в последнее время касперский довольно таки часто ловит "странный вирус". На диске C появляются файлы с расширением .exe и названиями типа 18181.exe, 111888.exe и т.д. Каспер то конечно удаляет все это, но почему они появляются заново - вот в чем вопрос.

S.R 07-01-2012 20:30 1830417
Сделайте логи.

http://forum.oszone.net/thread-98169.html

RedEnemy 13-01-2012 17:58 1835036
Сделал логи, прикрепил к сообщению.

iskander-k 13-01-2012 18:56 1835087
RedEnemy, где логи RSIT ?

Базы АВЗ старые - обновите.

программу teamviewer_вы сами устанавливали ?

RedEnemy 14-01-2012 20:05 1835869
Вложений: 1
Цитата:
Цитата iskander-k
Базы АВЗ старые - обновите.
программу teamviewer_вы сами устанавливали ? »
Базы обновил, teamviewer - да.
Прикрепил новый архив с полными логами.

iskander-k 14-01-2012 20:22 1835880
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

RedEnemy 15-01-2012 17:37 1836443
Вложений: 2
Сделал ComboFix, лог прикрепил.

Каспер стал ловить новый вирус (появляется когда как, т.е. при старте системы его может и не быть а потом он может появится), скрин тоже прикрепил.

Доп. лог:
Цитата:
Просканированные объекты: 187009 Времени прошло: 3 минут , 43 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 0 (Вредоносных программ не обнаружено) Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 0 (Вредоносных программ не обнаружено)

S.R 15-01-2012 19:17 1836532
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
KillAll::

FileLook::


File::
c:\users\Владислав\AppData\Roaming\del.bat


DirLook::


Folder::
c:\users\261E~1


Driver::


Registry::


ClearJavaCache::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.


Лог MBAM так и не сделали.

iskander-k 15-01-2012 19:35 1836546
RedEnemy, Что вы делали с системой 2011-12-18 ? Чью сборку установили ?


Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

RedEnemy 15-01-2012 21:20 1836646
Вложений: 1
Честно говоря не помню.
Винда офиц. 7 SP1 Максимальная (лицензия).
Лог прикрепил.

RedEnemy 15-01-2012 23:16 1836748
Вложений: 1
Цитата:
Цитата S.R
Лог MBAM так и не сделали. »
Новый лог, лог MBAM сделаю завтра.

S.R 16-01-2012 12:09 1836983
Скрипт из поста #8 выполняли? Антивирус во время этого отключали?

Скачайте утилиту Get MBR, запустите, нажмите Start. Полученный файл с системного диска заархивируйте и прикрепите в сообщение.

RedEnemy 16-01-2012 13:45 1837047
Вложений: 1
Цитата:
Цитата S.R
Скрипт из поста #8 выполняли? Антивирус во время этого отключали?
Скачайте утилиту Get MBR, запустите, нажмите Start. Полученный файл с системного диска заархивируйте и прикрепите в сообщение. »
Лог прикрепил. Ваш скрипт выполнял, лог лежит выше (сам ComboFix все программы выключил у меня).

thyrex 16-01-2012 16:22 1837146
Ничего необычного в логе не увидел

RedEnemy 16-01-2012 17:15 1837181
Вложений: 1
Цитата:
Цитата thyrex
Ничего необычного в логе не увидел »
Сейчас появляется непонятная дллка с названием типо dll12345.dll в папке program files\mysql\plugins, касперский (KIS 2012) сразу же находит ее, но удалить не может (возможно нужно выключить службу MySQL), дальше просит лечения с перезагрузкой, я соглашаюсь - удалить он ее не может - ребут с ошибками (ошибки винды). После ребута он что-то там проверяет говорит все "ок". Через некоторое время опять появляется дллка и круг повторяется заново. CureIt (Dr.Web) ничего не обнаружил (запуск в безопасном, полная проверка). То что пишет каспер прикрепил с сообщению.

S.R 16-01-2012 17:29 1837192
Загрузитесь в безопасном режиме, скопируйте эту длл на рабочий стол, запакуйте и прикрепите сюда. Очень похоже на ложное срабатывание.

RedEnemy 16-01-2012 21:10 1837382
Сегодня сделал KIS скан жесткого диска (USB, съемный), он нашел в бакапах (ну которые Windows делает) интересные файлы (скрины ниже) могли ли они как-то влиять на работу системы ? И что мне на всякий случай надо сделать (если что-то надо вообще) ?

Т.к. прикреплять большие файлы не могу, выкладываю так (извиняюсь за радикал):
_http://s018.radikal.ru/i500/1201/c0/22cd7a4d7c3e.jpg
_http://s001.radikal.ru/i194/1201/6f/4e4c440936df.jpg

S.R 17-01-2012 09:21 1837656
Если они были в точках восстановления, и Вы не откатывались на эти точки, то нет.

Нажмите Пуск => Выполнить. В окне наберите команду:
Код:
Combofix /Uninstall
Нажмите кнопку ОК


Скачайте OTCleanIt, запустите, нажмите Clean up


Повторите логи AVZ и RSIT

RedEnemy 17-01-2012 12:00 1837760
Вот сама дллка (появляется с разными названиями): _http://zalil.ru/32515292 (Внимание! Возможно вирус, выложил по просьбе S.R.) лог вирустотала:
Цитата:
Antivirus Result Update AhnLab-V3 Trojan/Win32.Agent 20120116 AntiVir TR/Crypt.XPACK.Gen 20120117 Antiy-AVL - 20120117 Avast Win32:Malware-gen 20120116 AVG Fat-Obfuscated 20120116 BitDefender MemScan:Trojan.Downloader.Msil.H 20120117 ByteHero - 20120111 CAT-QuickHeal Trojan.Redosdru.A 20120117 ClamAV - 20120117 Commtouch - 20120117 Comodo UnclassifiedMalware 20120117 DrWeb - 20120117 Emsisoft Virus.Fat.Obfuscated!IK 20120117 eSafe - 20120115 eTrust-Vet - 20120116 F-Prot - 20120116 F-Secure Packed:W32/PeCan.A 20120117 Fortinet W32/ResDro.B!tr 20120117 GData MemScan:Trojan.Downloader.Msil.H 20120117 Ikarus Virus.Fat.Obfuscated 20120117 Jiangmin - 20120116 K7AntiVirus Trojan 20120113 Kaspersky UDS:DangerousObject.Multi.Generic 20120117 McAfee Downloader.a!qu 20120117 McAfee-GW-Edition Downloader.a!qu 20120116 Microsoft TrojanDownloader:Win32/Hesto.A 20120117 NOD32 - 20120117 Norman W32/Redosdru.LS 20120116 nProtect - 20120117 Panda Trj/CI.A 20120116 PCTools - 20120117 Prevx - 20120117 Rising Trojan.Win32.Generic.127FF88E 20120116 Sophos Mal/ResDro-B 20120117 SUPERAntiSpyware - 20120114 Symantec WS.Reputation.1 20120117 TheHacker - 20120116 TrendMicro - 20120117 TrendMicro-HouseCall - 20120117 VBA32 - 20120116 VIPRE Trojan.Win32.Generic!BT 20120117 ViRobot - 20120117 VirusBuster - 20120116
При попытке выполнить пишет что не может найти Combofix, OT сейчас поставлю.
После OT логи: _http://zalil.ru/32515529 (не хватает места тут).

thyrex 17-01-2012 14:07 1837871
Будет детектироваться как Trojan-Downloader.Win32.FraudLoad.iei

Вопрос: обновления для MS SQL все установлены?

RedEnemy 17-01-2012 15:54 1837978
Цитата:
Цитата thyrex
Вопрос: обновления для MS SQL все установлены? »
На данный момент стоит MySQL 5.1, не самый новый. Думаете вирус где-то там ? Снести его ?

thyrex 17-01-2012 19:03 1838188
Вирус пролазит через его уязвимости. Если есть возможность установить более новую версию, дерзайте. Но в любом случае придется накатывать и все обновления, которые могли выйти

Вопрос: для системы все обновления установлены?

RedEnemy 17-01-2012 19:44 1838235
Цитата:
Цитата thyrex
Вопрос: для системы все обновления установлены? »
Да. Винда сама тянет последние.

RedEnemy 26-01-2012 15:48 1844941
Все такая же проблема остается: при включенном MySQL лезет вирус, решения так и не нашел. + Сегодня появился BS:
Цитата:
Сигнатура проблемы: Имя события проблемы: BlueScreen Версия ОС: 6.1.7601.2.1.0.256.1 Код языка: 1049 Дополнительные сведения об этой проблеме: BCCode: 1a BCP1: 0000000000041790 BCP2: FFFFFA80032CC910 BCP3: 000000000000FFFF BCP4: 0000000000000000 OS Version: 6_1_7601 Service Pack: 1_0 Product: 256_1

RedEnemy 29-01-2012 01:20 1846670
Теперь выскакивает новый вирь win32.fraudload.ei, прошу помощи :help:

iskander-k 29-01-2012 02:02 1846679
скачайте CureIT
В безопасном режиме запустите windows и запустите CureIT .


Выложите логи в соответствии с этими инструкциями.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Время: 19:16.

Время: 19:16.
© OSzone.net 2001-