Где вы такой глупости по-набирались?Если винлоки в основновном через просмотр порно - не смотреть порно...(не отключать защиту).
trojan.sms.send - как правило файл с двойным расширением *.zip.exe? то есть зашифрованный архив
Ну не уж-то невозможно его победить?
#101
Отправлено 28 Октябрь 2011 - 09:24
#102
Отправлено 28 Октябрь 2011 - 09:26
Regards, ezzo.
#103
Отправлено 28 Октябрь 2011 - 09:32
http://www.virustota...9278-1319782851
Но ответа до сих пор нет, ну ладно, дрвеб руткиты всегда долго делал по 5-6 дней и более.
Теперь вот передо мной другой компьютер, лог приатачил. Также с руткитом tdss и недектируемым авторанером [drweb.com #2767177] в памяти.
Руткит, как я понял вырубил гуард и вообще дрвеб. Ну по логам видно. Сканирование ничего толком не дают.
Файл из папки driver который скрытый serials.sys чистый на вирустотале.
tdsskiller пока не запускал.
Прикрепленные файлы:
Сообщение было изменено Banzai: 28 Октябрь 2011 - 09:34
#104
Отправлено 28 Октябрь 2011 - 09:39
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe - OK
#105
Отправлено 28 Октябрь 2011 - 09:43
Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?хто эта?
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK
#106
Отправлено 28 Октябрь 2011 - 09:44
drweb32w.exe /shark
Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.
#107
Отправлено 28 Октябрь 2011 - 09:46
ВОт на него уже робот ответил!C:\Documents and Settings\user\ltnuy.exe - OK
Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
-----------------
Угроза: Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782
Спасибо за сотрудничество.
Если я сейчас обновлю базы, то именно этот файл удалится, но тутже! на его место встанет другой из этой группы. Я писал б этом ранее в постах
#108
Отправлено 28 Октябрь 2011 - 09:50
Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?
он в процессах
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe
#109
Отправлено 28 Октябрь 2011 - 09:51
кокой шарк если он лечит в безопасном без антируткитаСкопируйте drweb32w.exe куда-нибудь и запустите
drweb32w.exe /shark
Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.
#110
Отправлено 28 Октябрь 2011 - 09:59
Отправляю в вирлаб? или еще что нить отправить. Не хочу те три файла отправлять )))) если дрвеб победит сигнатуру, то они должны детектится автоматом, а не через тикеты роботом))
Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?
он в процессах
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe
#111
Отправлено 28 Октябрь 2011 - 10:00
Значит надо в обычном режиме лечить.
#112
Отправлено 28 Октябрь 2011 - 10:01
#113
Отправлено 28 Октябрь 2011 - 10:27
ыЫ
#114
Отправлено 28 Октябрь 2011 - 10:48
Вы бы сделали зеркало беты 6-ки и с него бы сканером проверяли..Все таки 6 движок отличается от 5-го.Мне вот все странно, почему спецы из метрополии молчат? На лицо явная ж...а с роботом
#115
Отправлено 28 Октябрь 2011 - 11:13
ОкBanzai, напишите мне пожалуйста в ЛС номер запроса в техподдержку, если был такой.
ОкВы бы сделали зеркало беты 6-ки и с него бы сканером проверяли..Все таки 6 движок отличается от 5-го.
#116
Отправлено 28 Октябрь 2011 - 15:01
Теперь картина вроде как выясняется, руткит заражает машину, скачивает exe файлы с разными сигнатурами авторанеров. По крайней мере наблюдается вот такая картина. Там где в папке акаунта юзера несколько exe-файлов авторанера, то сканер веба ругается на backdoor.tdss. RootReapl говорит о скрытом файле в папке Drivers.
Плиз! Обработайте тикет [drweb.com #2760067].
У меня уже подозрение что и руткит модифицируется! Так как на другой машине скрытый файлы показывает 0 на вирустотал
#117
Отправлено 28 Октябрь 2011 - 16:45
Снял снова логи.
Отправил вирлаб:
[drweb.com #2768745].
http://www.virustotal.com/file-scan/report.html?id=2758392f201007662e366ec57e22506d0229cd8289e8fdc87cf2f163a956d63a-1319807785
[drweb.com #2768751].
http://www.virustotal.com/file-scan/report.html?id=b9adddf650b12e801683594d8b6842642a5c3052eae98932f04d9fc57605b525-1319807963
Помогите вытащить руткита. В логе рутпила показаны два файла serials.sys с разными размерами
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF7677000 Size: 65536 File Visible: - Signed: -
Status: -
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xB957F000 Size: 126976 File Visible: - Signed: -
Status: Hidden from the Windows API!
В папке тока с размером 65536, а с размером 126976 нету, и gmer тоже его не видит. Как его ковырнуть?
Прикрепленные файлы:
#118
Отправлено 28 Октябрь 2011 - 16:49
#119
Отправлено 28 Октябрь 2011 - 16:56
http://www.virustotal.com/file-scan/report.html?id=1412e83ec342d944b2568bcb8a593bc31148ac90e4bb985f6c96e1142eb38c2e-1313319354
#120
Отправлено 28 Октябрь 2011 - 16:56
делайте с этой машины остальные логи по ПравиламИ так на компьютере поменял тока сканер на 6.0 (отключал и включал самозащиту)
+
скачайте свежий cureit и сделайте логи по Правилам и сканера и cureit загрузившись в безопасном режиме windows
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых