Перейти к содержимому


Фото
- - - - -

Trojan.alipop.3 и Windows 7


  • Please log in to reply
143 ответов в этой теме

#21 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 30 Март 2011 - 19:13

Ответ по тикету #2248739:

Угроза: BackDoor.Siggen.28506


Хм, интересно, а когда обновилось, так как днем файл Др.вебом не ловился в принципе.

Кто-нибудь что-нибудь еще посоветует? ;(

даже если обновление к вам еще не приехало..файлы можно проверить здесь


http://vms.drweb.com/online/?lng=ru

сюда приезжает сразу же

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#22 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 19:20

так я вроде там и проверял. Ответ по тикету пришел именно оттуда.

#23 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 30 Март 2011 - 19:31

так я вроде там и проверял. Ответ по тикету пришел именно оттуда.

это онлайн сканер..он тикеты не рассылает

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#24 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 19:53

Вирус, как вирус Доктор уже ловит. Последние обновления помогли.
Но проблема не там, и пока это не отменяет факта, что откуда-то запускаются остальные вирусняки для размножения - в темпах, в сис32.

Кстати, АВЗ дал вот такую интересую строку:

>> Обнаружен набор команд, запускаемых при старте cmd.exe

Как бы исправить этот набор команд, тогда бы я батник для нормального лога смог бы запустить.

Сообщение было изменено Шелл: 30 Март 2011 - 19:54


#25 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 30 Март 2011 - 19:55

Иногда Иван Васильевич мне кажется что Вы бредите(с)

Как-то странно вы составляете фразы...что фиг поймешь что хотите

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#26 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 20:20

Прошу прощения. Голова сегодня плохо варит.

Итак, для тех, кто не читал начало:

При запуске исполнительного drweb-scan.bat открывается окно cmd и тут же закрывается. Если выполнить команду cmd из опции run Windows, то окошко так же открывается и тут же закрывается.
Локализировать, почему это происходит, у меня не получилось.

После проверки AVZ, я получил сообщение среди прочего лога:

>> Обнаружен набор команд, запускаемых при старте cmd.exe

Из чего я сделал вывод, что поведение cmd (окрылся-закрылся) напрямую зависит проблемы, которую обнаружил AVZ.
И далее следует вопрос: где бы мне посмотреть и чтобы мне сделать, чтобы убрать посторонние комманды, исполняемые при запуске cmd, чтобы провести нормальное сканирование при помощи Др.Веба, по тем правилам, как указано в "Правилах раздела".

Это первая часть.
Вторая часть, про которую мы с вами непосредственно говорили. Файлы программы QQ, про которые я говорил выше, после последнего обновления Др. Веба, начали определяться как вирусы, и, как следствие, удаляться. Но основная проблема состоит не в ней, так как ситуация описанная мною в первом посте продолжает оставаться без изменений.

PS На всякий случай присоединяю отчет AVZ.

Прикрепленные файлы:

  • Прикрепленный файл  avz_log.txt   46,14К   27 Скачано раз

Сообщение было изменено Шелл: 30 Март 2011 - 20:21


#27 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 305 Сообщений:

Отправлено 30 Март 2011 - 20:22

У нас не используется AVZ.

#28 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 20:27

У нас не используется AVZ.


Хорошо, больше не буду :P

#29 pig

pig

    Бредогенератор

  • Helpers
  • 10 670 Сообщений:

Отправлено 30 Март 2011 - 21:15

Я всё-таки относительно AVZ вякну. Раз она это обнаружила, она и пофиксить может. Через мастер поиска и устранения проблем.

Только сначала сделайте лог DwSysinfo и выложите сюда. Авось, увидим, что за набор команд такой.
Почтовый сервер Eserv тоже работает с Dr.Web

#30 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 21:22

прилеплено к первому посту.

#31 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 330 Сообщений:

Отправлено 30 Март 2011 - 22:02

Др.Веб (6-ка) находит в MBR Trojan.alipop.3, который успешно чистит после перезагрузки.

Эта проблема еще присутствует?
Версия Сервера Dr.Web 12.00.0 (15-10-2019 05:00:00)
Linux 4.18.0-80.11.2.el8_0.x86_64 x86_64; glibc 2.28

#32 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 22:46

Др.Веб (6-ка) находит в MBR Trojan.alipop.3, который успешно чистит после перезагрузки.

Эта проблема еще присутствует?


После последнего обновления Др.Веба, Trojan.alipop.3 удаляется до того, как успевает записать в МБР. Но информацию, что он пытается туда пробиться получаю систематически.
Так что, наверное, проблема частично решена.

--

При помощи AVZ восстановил CMD, так что через несколько минут выложу нормальный лог Др. Веба, сделанный по рпавилам раздела.

#33 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 22:55

Лог Др.Веба, сделанный по всем правилам форума.

Прикрепленные файлы:



#34 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 10:22

Ага, понятно... Нужно смотреть, откуда запускается cmd, там батник для FTP...

Личный сайт по Энкодерам - http://vmartyanov.ru/


#35 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 11:02

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.

Сообщение было изменено Шелл: 31 Март 2011 - 11:03


#36 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 11:31

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.


Думаю, это потому, что штатный FTP-клиент может быть в доверенных... Пойду у разработчиков спрошу... Можно поискать по bat и cmd-файлам строку "ca.com" без кавычек.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#37 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 11:36

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.


Думаю, это потому, что штатный FTP-клиент может быть в доверенных... Пойду у разработчиков спрошу... Можно поискать по bat и cmd-файлам строку "ca.com" без кавычек.


Вопрос, подкупающий своей оригинальностью: как это правильно сделать? :P

#38 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 11:38

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.


Думаю, это потому, что штатный FTP-клиент может быть в доверенных... Пойду у разработчиков спрошу... Можно поискать по bat и cmd-файлам строку "ca.com" без кавычек.


Вопрос, подкупающий своей оригинальностью: как это правильно сделать? :P


FAR'ом например. И запретите пока в FW работу приложения FTP.EXE, он там в доверенных стоял.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#39 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 12:00

у меня тотал коммандер, подойдет?
Как правильно завдать строку поиска?
Хорошо, попробую запретить. :P

#40 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 31 Март 2011 - 12:11

у меня тотал коммандер, подойдет?
Как правильно завдать строку поиска?

В Тотале - не знаю, в ФАРе скажу. :P Запускаете ФАР, становитесь на диск C:, нажимаете Alt-F7, вводите в маски *.bat и *.cmd, в "Содержащих текст" - ca.com и нажимаете "Искать". В Тотале аналогично, наверное.
С уважением,
Борис А. Чертенко aka Borka.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых