Где вы такой глупости по-набирались?Если винлоки в основновном через просмотр порно - не смотреть порно...(не отключать защиту).
trojan.sms.send - как правило файл с двойным расширением *.zip.exe? то есть зашифрованный архив
Ну не уж-то невозможно его победить?
Автор
Banzai
, окт 21 2011 14:19
127 ответов в этой теме
#101
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 28 Октябрь 2011 - 09:24
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#102
ezzo
-
- Beta Testers
-
- 4 203 Сообщений:
Guru
Отправлено 28 Октябрь 2011 - 09:26
mrbelyash, это будущее России 
АнАЛЕТЕГ
АнАЛЕТЕГ
Regards, ezzo.
#103
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 09:32
26 октября я отправил в вирлаб файл-руткит который не детектится вебом [drweb.com #2760067].
http://www.virustota...9278-1319782851
Но ответа до сих пор нет, ну ладно, дрвеб руткиты всегда долго делал по 5-6 дней и более.
Теперь вот передо мной другой компьютер, лог приатачил. Также с руткитом tdss и недектируемым авторанером [drweb.com #2767177] в памяти.
Руткит, как я понял вырубил гуард и вообще дрвеб. Ну по логам видно. Сканирование ничего толком не дают.
Файл из папки driver который скрытый serials.sys чистый на вирустотале.
tdsskiller пока не запускал.
http://www.virustota...9278-1319782851
Но ответа до сих пор нет, ну ладно, дрвеб руткиты всегда долго делал по 5-6 дней и более.
Теперь вот передо мной другой компьютер, лог приатачил. Также с руткитом tdss и недектируемым авторанером [drweb.com #2767177] в памяти.
Руткит, как я понял вырубил гуард и вообще дрвеб. Ну по логам видно. Сканирование ничего толком не дают.
Файл из папки driver который скрытый serials.sys чистый на вирустотале.
tdsskiller пока не запускал.
Прикрепленные файлы:
-
drw-results.cab 112,85К
3 Скачано раз
Сообщение было изменено Banzai: 28 Октябрь 2011 - 09:34
#104
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 28 Октябрь 2011 - 09:39
хто эта?
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe - OK
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe - OK
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#105
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 09:43
Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?хто эта?
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK
#106
HHH
-
- Posters
- 2 714 Сообщений:
Massive Poster
Отправлено 28 Октябрь 2011 - 09:44
Скопируйте drweb32w.exe куда-нибудь и запустите
drweb32w.exe /shark
Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.
drweb32w.exe /shark
Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.
#107
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 09:46
ВОт на него уже робот ответил!C:\Documents and Settings\user\ltnuy.exe - OK
Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
-----------------
Угроза: Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782
Спасибо за сотрудничество.
Если я сейчас обновлю базы, то именно этот файл удалится, но тутже! на его место встанет другой из этой группы. Я писал б этом ранее в постах
#108
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 28 Октябрь 2011 - 09:50
Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?
он в процессах
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#109
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 28 Октябрь 2011 - 09:51
кокой шарк если он лечит в безопасном без антируткитаСкопируйте drweb32w.exe куда-нибудь и запустите
drweb32w.exe /shark
Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#110
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 09:59
Отправляю в вирлаб? или еще что нить отправить. Не хочу те три файла отправлять )))) если дрвеб победит сигнатуру, то они должны детектится автоматом, а не через тикеты роботом))
Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?
он в процессах
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe
#111
HHH
-
- Posters
- 2 714 Сообщений:
Massive Poster
Отправлено 28 Октябрь 2011 - 10:00
Как-то пропустил, что это в безопасном режиме всё.
Значит надо в обычном режиме лечить.
Значит надо в обычном режиме лечить.
#112
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 10:01
Мне вот все странно, почему спецы из метрополии молчат? На лицо явная ж...а с роботом
#113
Ko6Ra
-
- Posters
- 3 308 Сообщений:
Supporter
Отправлено 28 Октябрь 2011 - 10:27
Banzai, напишите мне пожалуйста в ЛС номер запроса в техподдержку, если был такой.
ыЫ
#114
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 28 Октябрь 2011 - 10:48
Вы бы сделали зеркало беты 6-ки и с него бы сканером проверяли..Все таки 6 движок отличается от 5-го.Мне вот все странно, почему спецы из метрополии молчат? На лицо явная ж...а с роботом
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#115
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 11:13
ОкBanzai, напишите мне пожалуйста в ЛС номер запроса в техподдержку, если был такой.
ОкВы бы сделали зеркало беты 6-ки и с него бы сканером проверяли..Все таки 6 движок отличается от 5-го.
#116
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 15:01
Блин пипец третий корпоративный клиент падает с tdss и авторанеры. Библиотека с 60 компами. Ешкин свет.
Теперь картина вроде как выясняется, руткит заражает машину, скачивает exe файлы с разными сигнатурами авторанеров. По крайней мере наблюдается вот такая картина. Там где в папке акаунта юзера несколько exe-файлов авторанера, то сканер веба ругается на backdoor.tdss. RootReapl говорит о скрытом файле в папке Drivers.
Плиз! Обработайте тикет [drweb.com #2760067].
У меня уже подозрение что и руткит модифицируется! Так как на другой машине скрытый файлы показывает 0 на вирустотал
Теперь картина вроде как выясняется, руткит заражает машину, скачивает exe файлы с разными сигнатурами авторанеров. По крайней мере наблюдается вот такая картина. Там где в папке акаунта юзера несколько exe-файлов авторанера, то сканер веба ругается на backdoor.tdss. RootReapl говорит о скрытом файле в папке Drivers.
Плиз! Обработайте тикет [drweb.com #2760067].
У меня уже подозрение что и руткит модифицируется! Так как на другой машине скрытый файлы показывает 0 на вирустотал
#117
Banzai
-
- Posters
- 686 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 16:45
И так на компьютере поменял тока сканер на 6.0 (отключал и включал самозащиту)
Снял снова логи.
Отправил вирлаб:
[drweb.com #2768745].
http://www.virustotal.com/file-scan/report.html?id=2758392f201007662e366ec57e22506d0229cd8289e8fdc87cf2f163a956d63a-1319807785
[drweb.com #2768751].
http://www.virustotal.com/file-scan/report.html?id=b9adddf650b12e801683594d8b6842642a5c3052eae98932f04d9fc57605b525-1319807963
Помогите вытащить руткита. В логе рутпила показаны два файла serials.sys с разными размерами
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF7677000 Size: 65536 File Visible: - Signed: -
Status: -
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xB957F000 Size: 126976 File Visible: - Signed: -
Status: Hidden from the Windows API!
В папке тока с размером 65536, а с размером 126976 нету, и gmer тоже его не видит. Как его ковырнуть?
Снял снова логи.
Отправил вирлаб:
[drweb.com #2768745].
http://www.virustotal.com/file-scan/report.html?id=2758392f201007662e366ec57e22506d0229cd8289e8fdc87cf2f163a956d63a-1319807785
[drweb.com #2768751].
http://www.virustotal.com/file-scan/report.html?id=b9adddf650b12e801683594d8b6842642a5c3052eae98932f04d9fc57605b525-1319807963
Помогите вытащить руткита. В логе рутпила показаны два файла serials.sys с разными размерами
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF7677000 Size: 65536 File Visible: - Signed: -
Status: -
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xB957F000 Size: 126976 File Visible: - Signed: -
Status: Hidden from the Windows API!
В папке тока с размером 65536, а с размером 126976 нету, и gmer тоже его не видит. Как его ковырнуть?
Прикрепленные файлы:
-
drw-results.cab 112,86К
3 Скачано раз
-
rootrepeal.txt 33,79К
1 Скачано раз
#118
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 28 Октябрь 2011 - 16:49
C:\WINDOWS\system32\DRIVERS\serial.sys-это не руткит
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#119
AndreyKa
-
- Posters
- 940 Сообщений:
Advanced Member
Отправлено 28 Октябрь 2011 - 16:56
Rootkit, однозначно.
http://www.virustotal.com/file-scan/report.html?id=1412e83ec342d944b2568bcb8a593bc31148ac90e4bb985f6c96e1142eb38c2e-1313319354
http://www.virustotal.com/file-scan/report.html?id=1412e83ec342d944b2568bcb8a593bc31148ac90e4bb985f6c96e1142eb38c2e-1313319354
#120
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 28 Октябрь 2011 - 16:56
делайте с этой машины остальные логи по ПравиламИ так на компьютере поменял тока сканер на 6.0 (отключал и включал самозащиту)
+
скачайте свежий cureit и сделайте логи по Правилам и сканера и cureit загрузившись в безопасном режиме windows
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
