Перейти к содержимому


Фото
- - - - -

Plugin.exe

Автор Алексей. , янв 04 2010 18:02

  • Please log in to reply
13 ответов в этой теме

#1 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 04 Январь 2010 - 18:02

:( Доэксперементировался. Включаю комп, а в середине экрана небольшой розовенький порно баннер с 3 картинками. Как у все:отправить СМС ...на номер...
В безопасном режиме удалил в Еverest из автозагрузки Plugin.exe. Перевел время вперед на год,на всякий случай. В обычном режиме окно исчезло, все вроде запускается,сделал логи.Может остатки остались. С:Program files/plugin.exe - здесь вирь сидел:на вирус тотале
тикет: [ #1122221].

#2 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 04 Январь 2010 - 18:05

Сделайте полный лог RkU

#3 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 04 Январь 2010 - 18:37

Лог РКУ со сканом файлов

#4 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 04 Январь 2010 - 18:53

А это было еще давно, до скачки плагина:

Driver: unknown_irp_handler
Address: 0x89BCC1F8
Size: 3592 bytes

Driver: unknown_irp_handler
Address: 0x89A2A1F8
Size: 3592 bytes

Driver: unknown_irp_handler
Address: 0x89BCE1F8
Size: 3592 bytes

Driver: unknown_irp_handler
Address: 0x89B5F1F8
Size: 3592 bytes

Driver: unknown_irp_handler
Address: 0x89BCD1F8
Size: 3592 bytes

Driver: unknown_irp_handler
Address: 0x887131F8
Size: 3592 bytes

Driver: unknown_irp_handler
Address: 0x89A03500
Size: 2816 bytes

Driver: unknown_irp_handler
Address: 0x88723500
Size: 2816 bytes

Driver: unknown_irp_handler
Address: 0x899F0500
Size: 2816 bytes

Driver: unknown_irp_handler
Address: 0x8878E500
Size: 2816 bytes

#5 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 04 Январь 2010 - 18:55

А это было еще давно, до скачки плагина

Это скорее всего от Deamon Tools/Alcohol

#6 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 04 Январь 2010 - 19:04

Интересно, что сразу после загрузки красного флэшплеера с порносайта, в автозагрузке Plugin.exe не было. Баннер вылез позже.После нескольких перезагрузок компа через 1-2 дня . мой розовый баннер так выглядел

#7 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 05 Январь 2010 - 09:38

А меня логи то чистые? Кто-нибудь откликнется

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 05 Январь 2010 - 09:43

Интересно, что сразу после загрузки красного флэшплеера с порносайта, в автозагрузке Plugin.exe не было. Баннер вылез позже.После нескольких перезагрузок компа через 1-2 дня . мой розовый баннер так выглядел

Что-то там докачивается у меня на виртуалке через пару дней картинка превратилась в белый фон со строгим оформлением.
А можно еще лог Gmer?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 05 Январь 2010 - 09:50

Когда Gmer делаю у меня BSOD и перезагрузка, но это до заражения было еще так.

#10 michon

michon

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 05 Январь 2010 - 11:50

Рискну предположить, что еще должен быть hssogo.exe (в темпах) - вроде как загрузчик.

#11 stalin

stalin

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 08 Январь 2010 - 22:45

Мне уже 3 модификации этого plugin.exe попалось. Вот буквально полчаса назад отправил запрос в лабораторию на исследование очередного plugin.exe

#12 Dima_K

Dima_K

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 09 Январь 2010 - 16:49

6 числа отправлял аналогичный plugin.exe, вроде приняли к рассмотрению, #1123526, а в базах до сих пор не детектится. Сошлемся на праздники конечно...

Прописан был банально в автозапуске HKLM\...\Run. Дал удалить эту запись и самого себя без проблем. Если его запускать отдельно потом - никуда не прописывается - значит устанавилвался при помощи другого модуля. Судя по исследованию реестра ничего больше не нашлось - значит установщик выполнен по принципу обычного инсталлятора, а не маскирующегося троянца. Загружается, извлекает этот плугин и прописывает его в автозапуск.

#13 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 09 Январь 2010 - 16:55

6 числа отправлял аналогичный plugin.exe, вроде приняли к рассмотрению, #1123526, а в базах до сих пор не детектится. Сошлемся на праздники конечно...

этот номер тикета сюда

#14 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 09 Январь 2010 - 17:19

Не так просто, у меня после установки этого плагина и выключения вэбстрима, он сам собой начинал подключаться к нету, пока модем не выключил
Назад к Помощь по лечению

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·