Sms вымогатель
#1
Отправлено 24 Ноябрь 2009 - 02:52
#2
Отправлено 24 Ноябрь 2009 - 12:09
Личный сайт по Энкодерам - http://vmartyanov.ru/
#3
Отправлено 24 Ноябрь 2009 - 12:27
Логи выложил в файле forum.rar и report.txt.Делайте логи по правилам, а то тему грохнут.
#4
Отправлено 24 Ноябрь 2009 - 14:27
#5
Отправлено 24 Ноябрь 2009 - 14:39
А если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.
Борис А. Чертенко aka Borka.
#6
Отправлено 24 Ноябрь 2009 - 15:25
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
И еще:
C:\Windows\system32\drivers\eeeeeeea.sys
Сообщение было изменено Borka: 24 Ноябрь 2009 - 15:36
добавлено
Борис А. Чертенко aka Borka.
#7
Отправлено 24 Ноябрь 2009 - 15:32
Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
Имя хоста для 70.103.101.103 : - www.zzz.com
#8
Отправлено 24 Ноябрь 2009 - 15:37
У хостов слеши в другую сторону. Искать нужно в %sysdir%.Имя хоста для 70.103.101.103 : - www.zzz.comЕще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
Борис А. Чертенко aka Borka.
#9
Отправлено 24 Ноябрь 2009 - 15:54
Антивирус Версия Обновление РезультатА если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.
a-squared 4.5.0.43 2009.11.24 Rootkit.Win32.TDSS!IK
AhnLab-V3 5.0.0.2 2009.11.24 Win-Trojan/Patched.X
AntiVir 7.9.1.70 2009.11.24 -
Antiy-AVL 2.0.3.7 2009.11.24 -
Authentium 5.2.0.5 2009.11.23 -
Avast 4.8.1351.0 2009.11.24 Win32:Patched-LF
AVG 8.5.0.425 2009.11.24 Rootkit-Pakes.U
BitDefender 7.2 2009.11.24 -
CAT-QuickHeal 10.00 2009.11.24 -
ClamAV 0.94.1 2009.11.24 -
Comodo 3019 2009.11.24 -
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565
eSafe 7.0.17.0 2009.11.23 -
eTrust-Vet 35.1.7139 2009.11.24 -
F-Prot 4.5.1.85 2009.11.23 -
F-Secure 9.0.15370.0 2009.11.20 -
Fortinet 4.0.14.0 2009.11.24 -
GData 19 2009.11.24 Win32:Patched-LF
Ikarus T3.1.1.74.0 2009.11.24 Rootkit.Win32.TDSS
Jiangmin 11.0.800 2009.11.24 Rootkit.TDSS.ctw
K7AntiVirus 7.10.903 2009.11.23 -
Kaspersky 7.0.0.125 2009.11.24 Rootkit.Win32.TDSS.u
McAfee 5811 2009.11.23 -
McAfee+Artemis 5811 2009.11.23 -
McAfee-GW-Edition 6.8.5 2009.11.24 -
Microsoft 1.5302 2009.11.24 Virus:Win32/Alureon.A
NOD32 4632 2009.11.24 Win32/Olmarik.OF
Norman 6.03.02 2009.11.24 W32/TDSS.drv.gen4.A
nProtect 2009.1.8.0 2009.11.24 Trojan/W32.Rootkit.21584
Panda 10.0.2.2 2009.11.23 -
PCTools 7.0.3.5 2009.11.24 -
Prevx 3.0 2009.11.24 -
Rising 22.23.01.09 2009.11.24 -
Sophos 4.47.0 2009.11.24 Mal/TDSSPack-V
Sunbelt 3.2.1858.2 2009.11.24 -
Symantec 1.4.4.12 2009.11.24 -
TheHacker 6.5.0.2.076 2009.11.23 -
TrendMicro 9.0.0.1003 2009.11.24 -
VBA32 3.12.12.0 2009.11.24 Rootkit.Win32.TDSL
ViRobot 2009.11.24.2051 2009.11.24 -
VirusBuster 5.0.21.0 2009.11.23 -
#10
Отправлено 24 Ноябрь 2009 - 16:00
А в логеАнтивирус Версия Обновление РезультатА если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565
C:\Windows\system32\drivers\atapi.sys - OK
Ждем Константина.
Пока проверьте остальные файлы на ВирусТотал.
Борис А. Чертенко aka Borka.
#11
Отправлено 24 Ноябрь 2009 - 16:04
Файла C:\Windows\system32\drivers\eeeeeeea.sys уже нет.Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
И еще:
C:\Windows\system32\drivers\eeeeeeea.sys
#12
Отправлено 24 Ноябрь 2009 - 16:09
Я загрузился с Mandriva и переписал файл на внешний диск. Затем загрузился опять в windows и проверил то, что было на внешнем диске.А в логеАнтивирус Версия Обновление РезультатА если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565
C:\Windows\system32\drivers\atapi.sys - OK
Ждем Константина.
Пока проверьте остальные файлы на ВирусТотал.
#13
Отправлено 24 Ноябрь 2009 - 16:09
А сканер говорит, что есть:Файла C:\Windows\system32\drivers\eeeeeeea.sys уже нет.Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
И еще:
C:\Windows\system32\drivers\eeeeeeea.sys
C:\Windows\system32\drivers\eeeeeeea.sys - OK
22.04.2009 08:23 40 960 eeeeeeea.sys
Сообщение было изменено Borka: 24 Ноябрь 2009 - 16:10
добавлено
Борис А. Чертенко aka Borka.
#14
Отправлено 24 Ноябрь 2009 - 16:12
Все правильно. Попробуйте еще раз загрузиться с внешнего носителя и поискать файлыЯ загрузился с Mandriva и переписал файл на внешний диск. Затем загрузился опять в windows и проверил то, что было на внешнем диске.А в логеАнтивирус Версия Обновление РезультатА если загрузиться с внешнего носителя, скопировать куда-то C:\Windows\system32\DRIVERS\atapi.sys, а затем после перезагрузки натравить сканер на скопированный файл?После установки на на win 7 антивируса drweb, после двух перезагрузок, окно с запросом sms исчезло и перестал блокироваться internet. Но вирус BackDoor.Tdss.565 все равно после загрузки присутствует в памяти, и постоянно меняет сервис в котором обнаруживается.
DrWeb 5.0.0.12182 2009.11.24 BackDoor.Tdss.565
C:\Windows\system32\drivers\atapi.sys - OK
Ждем Константина.
Пока проверьте остальные файлы на ВирусТотал.
\\.\70.103.101.103\aekgoprn.dll или C:\Windows\system32\aekgoprn.dll
C:\Windows\system32\drivers\eeeeeeea.sys
Борис А. Чертенко aka Borka.
#15
Отправлено 24 Ноябрь 2009 - 16:18
АнтивирусВерсияОбновлениеРезультатa-squared4.5.0.412009.11.13-AhnLab-V35.0.0.22009.11.13-AntiVir7.9.1.652009.11.13-Antiy-AVL2.0.3.72009.11.13-Authentium5.2.0.52009.11.13-Avast4.8.1351.02009.11.13-AVG8.5.0.4252009.11.13-BitDefender7.22009.11.13-CAT-QuickHeal10.002009.11.13-ClamAV0.94.12009.11.13-Comodo29432009.11.13-DrWeb5.0.0.121822009.11.13-eSafe7.0.17.02009.11.12-eTrust-Vet35.1.71192009.11.13-F-Prot4.5.1.852009.11.13-F-Secure9.0.15370.02009.11.11-Fortinet3.120.0.02009.11.13-GData192009.11.13-IkarusT3.1.1.74.02009.11.13-Jiangmin11.0.8002009.11.12-K7AntiVirus7.10.8962009.11.13-Kaspersky7.0.0.1252009.11.13-McAfee58002009.11.12-McAfee+Artemis58002009.11.12-McAfee-GW-Edition6.8.52009.11.13-Microsoft1.52022009.11.13-NOD3246042009.11.13-Norman6.03.022009.11.13-nProtect2009.1.8.02009.11.13-Panda10.0.2.22009.11.13-PCTools7.0.3.52009.11.13-Prevx3.02009.11.13-Rising22.21.04.092009.11.13-Sophos4.47.02009.11.13-Sunbelt3.2.1858.22009.11.12-Symantec1.4.4.122009.11.13-TheHacker6.5.0.2.0672009.11.12-TrendMicro9.0.0.10032009.11.13-VBA323.12.10.112009.11.13-ViRobot2009.11.13.20352009.11.13-VirusBuster4.6.5.02009.11.13-АнтивирусВерсияОбновлениеРезультатa-squared4.5.0.412009.11.13-AhnLab-V35.0.0.22009.11.13-AntiVir7.9.1.652009.11.13-Antiy-AVL2.0.3.72009.11.13-Authentium5.2.0.52009.11.13-Avast4.8.1351.02009.11.13-AVG8.5.0.4252009.11.13-BitDefender7.22009.11.13-CAT-QuickHeal10.002009.11.13-ClamAV0.94.12009.11.13-Comodo29432009.11.13-DrWeb5.0.0.121822009.11.13-eSafe7.0.17.02009.11.12-eTrust-Vet35.1.71192009.11.13-F-Prot4.5.1.852009.11.13-F-Secure9.0.15370.02009.11.11-Fortinet3.120.0.02009.11.13-GData192009.11.13-IkarusT3.1.1.74.02009.11.13-Jiangmin11.0.8002009.11.12-K7AntiVirus7.10.8962009.11.13-Kaspersky7.0.0.1252009.11.13-McAfee58002009.11.12-McAfee+Artemis58002009.11.12-McAfee-GW-Edition6.8.52009.11.13-Microsoft1.52022009.11.13-NOD3246042009.11.13-Norman6.03.022009.11.13-nProtect2009.1.8.02009.11.13-Panda10.0.2.22009.11.13-PCTools7.0.3.52009.11.13-Prevx3.02009.11.13-Rising22.21.04.092009.11.13-Sophos4.47.02009.11.13-Sunbelt3.2.1858.22009.11.12-Symantec1.4.4.122009.11.13-TheHacker6.5.0.2.0672009.11.12-TrendMicro9.0.0.10032009.11.13-VBA323.12.10.112009.11.13-ViRobot2009.11.13.20352009.11.13-VirusBuster4.6.5.02009.11.13-
#16
Отправлено 24 Ноябрь 2009 - 16:20
Ну, это и понятно - ТДСС подсовывает чистый.А если проверить atapi.sys в Тотал на загруженой системе, то вирусов нет никаких.
Борис А. Чертенко aka Borka.
#17
Отправлено 24 Ноябрь 2009 - 16:25
Он был. Я сам обратил на него внимание. Но после сноса avast и установки drweb он исчез. Смотрел через FAR, т.ч. спрятаться он не мог. Я три раза просмотрел drivers/А сканер говорит, что есть:Файла C:\Windows\system32\drivers\eeeeeeea.sys уже нет.Еще интересный файл:
[Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
И еще:
C:\Windows\system32\drivers\eeeeeeea.sys
C:\Windows\system32\drivers\eeeeeeea.sys - OK
22.04.2009 08:23 40 960 eeeeeeea.sys
Да. А как быть или где искать: [Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
b и т.п.
Может сделать новый комплект отчетов ?
#18
Отправлено 24 Ноябрь 2009 - 16:29
Ну если на живой системе, то не факт, что он даст себя увидеть. Смотреть нужно в Мандриве... Так же, как и aekgoprn.dll (полагаю, он живет в C:\Windows\system32\)Смотрел через FAR, т.ч. спрятаться он не мог. Я три раза просмотрел drivers/
Давайте новый комплект.Да. А как быть или где искать: [Проверяемый путь] \\.\70.103.101.103\aekgoprn.dll
\\.\70.103.101.103\aekgoprn*.* - ошибка чтения
b и т.п.
Может сделать новый комплект отчетов ?
Борис А. Чертенко aka Borka.
#19
Отправлено 24 Ноябрь 2009 - 17:37
Прикрепленные файлы:
#20
Отправлено 24 Ноябрь 2009 - 18:21
Что-то я не понял - у Вас сканер запущен одновременно с КуреИтом?Направляю новый комплект отчетов
Борис А. Чертенко aka Borka.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых