31 ответов в этой теме

[pnets]

Здравствуйте! Нужна помощь по лечению от нового трояна Trojan.Tofsee.

Как попал на компьютер неизвестно.

Сканер обнаруживает в памяти svchost.exe:3960, Угроз обнаружено 11, Угроз обезврежено 1.

После перезагрузки и повторного сканирования, тоже самое с другим номером.

При попытке проверить отдельный файл через правую клавишу в проводнике сканер не запускается.

При запуске свежего CureIt! Выдается сообщение "Отказано в доступе к указанному устройству, пути или файлу. Возможно у вас нет прав доступа к этому объекту",

При запуске  CureIt!  в защищенном режиме Угроз не обнаружено.

 

Из перечисленных загружаемых модулей ничего не обнаружено.

Есть только файл из описания - <SYSTEM32>\secupdat.dat

 

логи не прицепляются - Ошибка ИО, куда можно их отправить?

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу , затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[pnets]

 DrWeb SysInfo. тоже не запускается

лог сканера  230614_221020.zip   4,63Мб   4 Скачано раз

и хайджек   hijackthis.zip   5,14К   8 Скачано раз

Сообщение было изменено pnets: 24 Июнь 2014 - 05:24

[AndreyKa]

 DrWeb SysInfo. тоже не запускается

лог сканера230614_221020.zip

и хайджек hijackthis.zip

 

Пофиксите в HijackThis строки:

O4 - HKLM\..\Run: [Domru] "C:\Documents and Settings\Администратор\Local Settings\Apps\2.0\B5LZGOH7.HEK\B090EGGZ.DX4\domr..tion_2edef5e10e1944ec_0000.0000_cea579f3bd0306ad\Domru.exe" /auto
O4 - HKCU\..\Run: [MSConfig] "C:\Documents and Settings\Администратор\imdhjque.exe" (filesize 51003392 bytes, MD5 2A4F80C2E74276F2F1F29A194D48A276)
O4 - HKCU\..\Run: [agentIdentities] "C:\Documents and Settings\Администратор\Application Data\Identities\agentIdentities.exe" (filesize 110592 bytes, MD5 E0672EBD586533A993D9D9AA924291E4)
O4 - HKLM\..\Policies\Explorer\Run: [5109] C:\DOCUME~1\ALLUSE~1.0\LOCALS~1\Temp\msxqreot.scrC:\DOCUME~1\ALLUSE~1.0\LOCALS~1\Temp\msxqreot.scr

Файлы "C:\Documents and Settings\Администратор\Application Data\Identities\agentIdentities.exe" и "C:\DOCUME~1\ALLUSE~1.0\LOCALS~1\Temp\msxqreot.scr" отправьте тут - https://vms.drweb.com/sendvirus/

 

Запакуйте в архив файл "C:\Documents and Settings\Администратор\imdhjque.exe" Какой размер получился?

[Ivan Korolev]

C:\Documents and Settings\Администратор\Application Data\Identities\agentIdentities.exe - Trojan.Packed.27884

 

C:\Documents and Settings\Администратор\imdhjque.exe
C:\DOCUME~1\ALLUSE~1.0\LOCALS~1\Temp\msxqreot.scrC:\DOCUME~1\ALLUSE~1.0\LOCALS~1\Temp\msxqreot.scr

Как пришлете в вирлаб, напишите тут номер тикета.

[pnets]

Пофиксил, удалил указанные файлы, перезагрузил..

при загрузке заметил в панели задач промелькнуло окно с непереводимым названием, запустил сканер - тот же троян в памяти..

снова хайджек - по тем же путям файлы с другими именами..

перезапустился в защищенном режиме, удалил файлы, почистил реестр в Explorer\Run

запустился нормально, окно не мелькало, сканер и CureIt! запускаются - Угроз не обнаружено

 

Спасибо за помощь!

 

файлы отправил, но тикеты не пришли

[pnets]

Trojan.Packed.27884

 

а что за троян? что делает? не нашел описания и почему сканер его как Trojan.Tofsee определяет?

[fetch]

 

Trojan.Packed.27884

 

а что за троян? что делает? не нашел описания и почему сканер его как Trojan.Tofsee определяет?

 

Предполагаю, что Tofsee сканер ловит в памяти, а образ этого файла на диске должен определяться как Trojan.Packed.

 

Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.

[pnets]

Ответ техподдержки

Файл agentIdentities.exe оказался новой вредоносной программой, которая добавлена в наши базы как Trojan.Inject1.43482

[VVS]

Ответ техподдержки

Файл agentIdentities.exe оказался новой вредоносной программой, которая добавлена в наши базы как Trojan.Inject1.43482

Судя по названию трояна и по тому, что он не был выловлен, у Вас установлена не 9-я версия DrWeb?

[pnets]

да еще 8ая, а 9ая ловит всех?

[VVS]

да еще 8ая, а 9ая ловит всех?

Инжектеров и энкодеров ловит по поведению.

[Ольгерд]

 

да еще 8ая, а 9ая ловит всех?

Инжектеров и энкодеров ловит по поведению.

 

Извините, а что такое инжектер?

[VVS]

 

 

да еще 8ая, а 9ая ловит всех?

Инжектеров и энкодеров ловит по поведению.

 

Извините, а что такое инжектер?

 

Внедряется в память запущенного процесса.

[VVS]

StraNiX, номера тикетов на форуме публиковать нельзя.

[StraNiX]

Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.

номера тикетов на форуме публиковать нельзя.

Как Вас понимать?

[StraNiX]

Spoiler

GMER 2.1.19357 - http://www.gmer.net

Rootkit quick scan 2014-06-26 17:54:26

Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST340016A rev.3.75 37.27GB

Running: gmer.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\kxrdipow.sys

 

 

---- Devices - GMER 2.1 ----

 

Device          \FileSystem\Fastfat \Fat     899E6A98

Device          \FileSystem\Fastfat \Fat     8A122690

Device          \FileSystem\Fastfat \Fat     89FB8250

Device          \FileSystem\Fastfat \Fat     89A9DF58

 

AttachedDevice  \FileSystem\Fastfat \Fat     fltMgr.sys

AttachedDevice  \FileSystem\Fastfat \Fat     dwprot.sys

AttachedDevice  \Driver\Tcpip \Device\Ip     dwprot.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp    dwprot.sys

AttachedDevice  \Driver\Tcpip \Device\Udp    dwprot.sys

AttachedDevice  \Driver\Tcpip \Device\RawIp  dwprot.sys

 

---- Threads - GMER 2.1 ----

 

Thread          dwarkdaemon.exe [1568:1608]  SSDT 0x89A98528 != 0x804E26B8

Thread          dwarkdaemon.exe [1568:624]   SSDT 0x89A98528 != 0x804E26B8

Thread          dwarkdaemon.exe [1568:3836]  SSDT 0x89A98528 != 0x804E26B8

 

---- EOF - GMER 2.1 ----

 

 

Spoiler

Logfile of Trend Micro HijackThis v2.0.5

Scan saved at 17:53:35, on 26.06.2014

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

 

 

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\DrWeb\dwservice.exe

C:\Program Files\Firebird\Firebird_2_0\bin\fbguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\DrWeb\spideragent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\VistaDriveIcon\VistaDrv.exe

D:\ARCHIVE\Sprint\SPrint.exe

C:\Program Files\Firebird\Firebird_2_0\bin\fbserver.exe

C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe

C:\Program Files\DrWeb\dwnetfilter.exe

C:\Program Files\LibreOffice 4\program\soffice.exe

C:\Program Files\LibreOffice 4\program\soffice.bin

C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

\192.168.1.230\a1\ARCHIVE\Аптечка сисадмина-2\Сбор сведений\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=47656

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/?pid=[1]

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O4 - HKLM\..\Run: [FinePrint Диспетчер v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\spideragent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe

O4 - HKCU\..\Run: [SPrint] D:\ARCHIVE\Sprint\SPrint.exe

O4 - HKCU\..\Run: [MSConfig] "C:\Documents and Settings\Admin\imdhjque.exe"

O4 - HKCU\..\Run: [SunTray] "C:\Documents and Settings\Admin\Application Data\Sun\SunTray.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

O4 - Startup: монтирование.lnk = C:\WINDOWS\system32\net.exe

O4 - Startup: quickstart.lnk = C:\Program Files\LibreOffice 4\program\quickstart.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B9406B7-4063-4107-9E5D-F7F4325DDA11}: NameServer = 192.168.1.1,8.8.8.8

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B9406B7-4063-4107-9E5D-F7F4325DDA11}: NameServer = 192.168.1.1,8.8.8.8

O17 - HKLM\System\CS2\Services\Tcpip\..\{1B9406B7-4063-4107-9E5D-F7F4325DDA11}: NameServer = 192.168.1.1,8.8.8.8

O17 - HKLM\System\CS3\Services\Tcpip\..\{1B9406B7-4063-4107-9E5D-F7F4325DDA11}: NameServer = 192.168.1.1,8.8.8.8

O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Dr.Web Control Service (DrWebAVService) - Doctor Web, Ltd. - C:\Program Files\DrWeb\dwservice.exe

O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe

O23 - Service: Dr.Web Net Filtering Service (DrWebNetFilter) - Doctor Web, Ltd. - C:\Program Files\DrWeb\dwnetfilter.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_0\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Program Files\Firebird\Firebird_2_0\bin\fbserver.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TeamViewer 9 (TeamViewer9) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 7548 bytes

 

 TAMARA_123_260614_185500.zip   1,54Мб   1 Скачано раз

Сообщение было изменено StraNiX: 26 Июнь 2014 - 21:48

[pig]

Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.

 
 

номера тикетов на форуме публиковать нельзя.

Как Вас понимать?

Впрямую - по отношению к тикетам техподдержки.

[StraNiX]

Впрямую - по отношению к тикетам техподдержки.

Всё равно не понял

[VVS]

Тикеты вирлаба на форуме публиковать можно.

Тикеты техподдержки на форуме публиковать нельзя.