Перейти к содержимому


Фото
- - - - -

Ну не уж-то невозможно его победить?


  • Please log in to reply
127 ответов в этой теме

#41 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 23 Октябрь 2011 - 10:14

Вот ещё раз этот-же файл проверил. :)
http://www.virustotal.com/file-scan/report.html?id=cb9cf3c4b12f1198261f24cbfd7657a6e8da35490fc30f317ebed75f370148bd-1319353297

И ещё один. :D
http://www.virustotal.com/file-scan/report.html?id=2677fe9ae2d77ac5163655d9b3cd3691ecb29313431a6ff2a7fabf458720cd10-1319353950

Сообщение было изменено Vindows: 23 Октябрь 2011 - 10:19

Essential Security against Evolving Threats
user Windows 64 bit

#42 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 24 Октябрь 2011 - 08:01

Пришел очередной компьютер с авторанером.
Вставили флэшку. На флэшке появилось: Porn.exe, Secrets.exe, Passwords.exe, Sexy.exe и один скрытый exe-файл
отправили вирлаб [drweb.com #2746120].
Угроза: Win32.HLLW.Autoruner.64478, Win32.HLLW.Autoruner.64478, Win32.HLLW.Autoruner.64478, Win32.HLLW.Autoruner.64478
Обновили вылечили.
Вставили снова флэшку чистую в этот же компьютер и опять заражение теже файлы но детекта нет.
http://www.virustota...70e1-1319431739
Отправили вирлаб. [drweb.com #2754169].
Сняли логи по правилам
Там в памяти вроде как бакдур висел.

Надеюсь что это когда нибудь прекратится

Прикрепленные файлы:

  • Прикрепленный файл  test.rar   418,92К   24 Скачано раз

Сообщение было изменено Banzai: 24 Октябрь 2011 - 08:03


#43 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 24 Октябрь 2011 - 08:06

Banzai, интересно... из лога:

[Memory scanning] Process in memory: C:\WINDOWS\system32\lsass.exe:612 infected with BackDoor.Tdss.565 - eradicated

Dr.Web Shield doesn't load

не из под админа запускаете?

eradicated - в первые вижу такое в логе сканера :)

Сообщение было изменено EzzO: 24 Октябрь 2011 - 08:07

Regards, ezzo.


#44 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 24 Октябрь 2011 - 08:08

Нужно найти Генератора или Довнлоадера, который и выкачивает эти новые Авторанеры... Без него, всё бесполезно, постоянно так и будет заражение...

Regards, ezzo.


#45 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 24 Октябрь 2011 - 08:08

Banzai, интересно... из лога:

[Memory scanning] Process in memory: C:\WINDOWS\system32\lsass.exe:612 infected with BackDoor.Tdss.565 - eradicated

Dr.Web Shield doesn't load

не из под админа запускаете?

eradicated - в первые вижу такое в логе сканера :)

Тупо scan.bat из правил :D

#46 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 24 Октябрь 2011 - 08:10

Нужно найти Генератора или Довнлоадера, который и выкачивает эти новые Авторанеры... Без него, всё бесполезно, постоянно так и будет заражение...

Ну давай говорите что делать, ща мы его выловим, комп тут и явно обновляет сигнатуру, но в инет он не был подключен, через зеркало флэшки обновили.

Сообщение было изменено Banzai: 24 Октябрь 2011 - 08:11


#47 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 24 Октябрь 2011 - 08:12

комп тут и явно обновляется

обновляется, что если

но в инету он небыл подключен.


Можно проделать эксперимент: подключить ПК к инету, поставить фаерволл, настроить его на запрос при каждом подключении программы к инету и сидеть ждать, пока этот гад не попытается вылезти в инет... ИЛИ же ХИПС тут может еще помочь...

Regards, ezzo.


#48 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 24 Октябрь 2011 - 08:29

Я писал раньше в этом топике как меняются вирусы

Ситуация такая:
в папках Docum... settings\{акаунт} содаются скрытые exe-файлы также, до не давнего времени, обнаружили в папке портфеля.
Каждый exe-файл имеет разные размеры и сигнатуру детектации, и делают одно и тоже создают 4 файла на флэшках и один скрытый который сидит в процессе. Если один файл вебом распознается, то после лечения он успешно удаляется с процесса, НО на его место встает другой exe-файл из той группы, который уже не детектится вебом. Если опять отправить файл в вирлаб и веб начинает его убивать, на его место опять встает флругой файл и так пока эти файлы не кончатся.
Я подключал зараженный комп к инету и наблюдал появление новых файлов, но ничего не появлялось.
Вылечив машины другими ативирями мы отдавали клиенту.
Мало того, винда не ругается на флэшки с защитой от записи. Если она защищена, то с флэшкой молча ничего не происходит, если запись открыта, то заражается быстро.


#49 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 24 Октябрь 2011 - 12:24

Ух ты! Пришел ответ на [drweb.com #2754169].

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
Угроза: Win32.HLLW.Autoruner1.68
Ну дождемся обновления баз и будем посмотреть че получится.

#50 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 24 Октябрь 2011 - 18:09

Banzai, предлагаю завести фич реквест фтрекере против этих вредоносного программного обеспечения... :ph34r:

Regards, ezzo.


#51 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 24 Октябрь 2011 - 18:55

EzzO, on 24 October 2011 - 09:06, said:
Banzai, интересно... из лога:

[Memory scanning] Process in memory: C:\WINDOWS\system32\lsass.exe:612 infected with BackDoor.Tdss.565 - eradicated
Тупо scan.bat из правил

TDSS - это руткит, нужно запустить scan.bat от учётки с администраторскими правами. Есть еще такая возможность?

Или эти логи как раз из такой учётки и сняты?

#52 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 24 Октябрь 2011 - 19:05

-http://www.eset.com/about/blog/blog/article/tdl4-rebooted/-
Кстати сейчас вышел новый продвинутый TDL!!! Win32/Olmasco.R :ph34r:

Сообщение было изменено Vindows: 24 Октябрь 2011 - 19:08

Essential Security against Evolving Threats
user Windows 64 bit

#53 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 24 Октябрь 2011 - 22:32

[Memory scanning] Process in memory: C:\WINDOWS\system32\lsass.exe:612 infected with BackDoor.Tdss.565 - eradicated - уничтожен в памяти

Dr.Web Shield doesn't load
Что это значит по-вашему ! с LiveCD-USB можете загрузиться и про сканировать ? Или в безопасном Куреит. (с мини-хр CureIt и avz).
http://www.kaspersky.ru/support/downloads/utils/tdsskiller.exe - а вдруг поможет !
Не знаю что вы делаете, но надо это ловить, раз в памяти является - значит сидит. И Доктор Веб уже не ЗАЩИЩАЕТ !

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#54 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 25 Октябрь 2011 - 06:53

Блин точно, при повторном сканировании этот tdss опять лезет.
Ща скан идет в безопасном. Если и там не убьет, то через лайв попробую кюритом. Хочу победить именно дрвебом.
Вопрос: он никак не связан с этими авторанерами?

#55 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 25 Октябрь 2011 - 07:31

Кстати, выслал еще один вариант [drweb.com #2755350].
Но там два файла, один из них авторанер http://www.virustotal.com/file-scan/report.html?id=26a81c3d6f94682763f59f3f3fe66c48fdb675e1dd926d3dc578ab9640463bce-1319516223 и определяется уже как Win32.HLLW.Autoruner1.181
А до этого отправлял был Win32.HLLW.Autoruner1.68
И везде отвечает автомат робот.
Короче нифига вирлаб не работает над этой проблемой.
Поставили робота и хай он как человек с альтернативными умственными способностями железный пашет.
А вот второй файл высланный мною, который был в том же архиве тупо пропустили http://www.virustotal.com/file-scan/report.html?id=1252f555610abf03bcd2dfacefe03cd98f03b4ea3531baa1fb6c9f733257dbb7-1319515835
Выслал повторно

DrWeb! Че блин за фигня? Вырубите робота и начинайте качественно работать!

#56 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 25 Октябрь 2011 - 07:33

Banzai, http://forum.drweb.com/index.php?showtopic=305691&view=findpost&p=555862

Regards, ezzo.


#57 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 25 Октябрь 2011 - 08:10

Banzai, http://forum.drweb.c...ndpost&p=555862

EzzO, Как сказал И.Данилов (не нашёл источник), каждый день в врилаб приходит около 60000 вирусов (файлов для проверки). Ведущих вирусных аналитиков вДоктор Веб 20 человек. Робот отсеивает около 2-х теретей этого объёма. Итого на каждого аналитика по 1000 файлов на день.
А тут ещё ваш 1001 ! Это раз !

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#58 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 25 Октябрь 2011 - 08:18

Banzai, предлагаю завести фич реквест фтрекере против этих вредоносного программного обеспечения...

Скажите 7-а работает ? Релиз как ? Не говоря уж о других продуктах и направлениях разработок компании. Так и хочется сказать ДАВАЙТЕ баги ...по закрываем. давайте хоть по мелочам не отвлекать ,вы же видите даже на форуме мало кто общается.
Организованей надо !
(ну это 2)

Сообщение было изменено LEE: 25 Октябрь 2011 - 08:19

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#59 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 25 Октябрь 2011 - 08:20

LEE, а вы думали я не знал? И это тут совсем не причем. Тут нужно сделать единную базу на Авторанеры и всё! :ph34r:

Regards, ezzo.


#60 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 25 Октябрь 2011 - 08:22

Скажите 7-а работает ? Релиз как ? Не говоря уж о других продуктах и направлениях разработок компании. Так и хочется сказать ДАВАЙТЕ баги ...по закрываем. давайте хоть по мелочам не отвлекать ,вы же видите даже на форуме мало кто общается.
Организованей надо !
(ну это 2)

хватит умничать :ph34r: Что вы этим хотели сказать?
Я предлагаю перевести весь наш пыл по этим Авторанерам фтрекер и общаться уже там. :lol:
Может и нет смысла в этом...

Regards, ezzo.



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых