Перейти к содержимому


Фото
- - - - -

Ну не уж-то невозможно его победить?


  • Please log in to reply
127 ответов в этой теме

#101 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 28 Октябрь 2011 - 09:24

Если винлоки в основновном через просмотр порно - не смотреть порно...(не отключать защиту).
trojan.sms.send - как правило файл с двойным расширением *.zip.exe? то есть зашифрованный архив

Где вы такой глупости по-набирались?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#102 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 28 Октябрь 2011 - 09:26

mrbelyash, это будущее России :facepalm: АнАЛЕТЕГ <_<

Regards, ezzo.


#103 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 09:32

26 октября я отправил в вирлаб файл-руткит который не детектится вебом [drweb.com #2760067].
http://www.virustota...9278-1319782851

Но ответа до сих пор нет, ну ладно, дрвеб руткиты всегда долго делал по 5-6 дней и более.

Теперь вот передо мной другой компьютер, лог приатачил. Также с руткитом tdss и недектируемым авторанером [drweb.com #2767177] в памяти.
Руткит, как я понял вырубил гуард и вообще дрвеб. Ну по логам видно. Сканирование ничего толком не дают.
Файл из папки driver который скрытый serials.sys чистый на вирустотале.
tdsskiller пока не запускал.

Прикрепленные файлы:


Сообщение было изменено Banzai: 28 Октябрь 2011 - 09:34


#104 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 28 Октябрь 2011 - 09:39

хто эта?
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe packed by FLY-CODE
>>C:\Documents and Settings\user\Application Data\802F1\C5D00.exe - OK

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#105 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 09:43

хто эта?
C:\Documents and Settings\user\hiemil.exe - OK
C:\Documents and Settings\user\ltnuy.exe - OK
C:\Documents and Settings\user\miisum.exe - OK
C:\Documents and Settings\user\raueba.exe - OK

Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?

#106 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 28 Октябрь 2011 - 09:44

Скопируйте drweb32w.exe куда-нибудь и запустите
drweb32w.exe /shark

Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.

#107 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 09:46

C:\Documents and Settings\user\ltnuy.exe - OK

ВОт на него уже робот ответил!
Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

-----------------

Угроза: Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782, Win32.HLLW.Autoruner1.782

Спасибо за сотрудничество.

Если я сейчас обновлю базы, то именно этот файл удалится, но тутже! на его место встанет другой из этой группы. Я писал б этом ранее в постах

#108 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 28 Октябрь 2011 - 09:50


Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?



он в процессах
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#109 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 28 Октябрь 2011 - 09:51

Скопируйте drweb32w.exe куда-нибудь и запустите
drweb32w.exe /shark

Можно еще попробовать его в a.exe переименовать.
Минут через 10 рядом будет создан лог. Хотелось бы на него взглянуть.

кокой шарк если он лечит в безопасном без антируткита

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#110 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 09:59


Это он и есть докаченный автораннер. Если я их ща вышлю в вирлаб, то КАЖДЫЙ будет РАЗНЫМ авторанером!!! Я через то уже три раза проходил. Вот КТО ЕГО ДОКИЧИВАЕТ?



он в процессах
C:\Documents and Settings\user\Application Data\802F1\C5D00.exe

Отправляю в вирлаб? или еще что нить отправить. Не хочу те три файла отправлять )))) если дрвеб победит сигнатуру, то они должны детектится автоматом, а не через тикеты роботом))

#111 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 28 Октябрь 2011 - 10:00

Как-то пропустил, что это в безопасном режиме всё.
Значит надо в обычном режиме лечить.

#112 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 10:01

Мне вот все странно, почему спецы из метрополии молчат? На лицо явная ж...а с роботом

#113 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 28 Октябрь 2011 - 10:27

Banzai, напишите мне пожалуйста в ЛС номер запроса в техподдержку, если был такой.

ыЫ


#114 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 28 Октябрь 2011 - 10:48

Мне вот все странно, почему спецы из метрополии молчат? На лицо явная ж...а с роботом

Вы бы сделали зеркало беты 6-ки и с него бы сканером проверяли..Все таки 6 движок отличается от 5-го.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#115 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 11:13

Banzai, напишите мне пожалуйста в ЛС номер запроса в техподдержку, если был такой.

Ок

Вы бы сделали зеркало беты 6-ки и с него бы сканером проверяли..Все таки 6 движок отличается от 5-го.

Ок

#116 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 15:01

Блин пипец третий корпоративный клиент падает с tdss и авторанеры. Библиотека с 60 компами. Ешкин свет.
Теперь картина вроде как выясняется, руткит заражает машину, скачивает exe файлы с разными сигнатурами авторанеров. По крайней мере наблюдается вот такая картина. Там где в папке акаунта юзера несколько exe-файлов авторанера, то сканер веба ругается на backdoor.tdss. RootReapl говорит о скрытом файле в папке Drivers.
Плиз! Обработайте тикет [drweb.com #2760067].

У меня уже подозрение что и руткит модифицируется! Так как на другой машине скрытый файлы показывает 0 на вирустотал

#117 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 28 Октябрь 2011 - 16:45

И так на компьютере поменял тока сканер на 6.0 (отключал и включал самозащиту)
Снял снова логи.
Отправил вирлаб:
[drweb.com #2768745].
http://www.virustotal.com/file-scan/report.html?id=2758392f201007662e366ec57e22506d0229cd8289e8fdc87cf2f163a956d63a-1319807785

[drweb.com #2768751].
http://www.virustotal.com/file-scan/report.html?id=b9adddf650b12e801683594d8b6842642a5c3052eae98932f04d9fc57605b525-1319807963

Помогите вытащить руткита. В логе рутпила показаны два файла serials.sys с разными размерами
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF7677000 Size: 65536 File Visible: - Signed: -
Status: -
Name: serial.sys
Image Path: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xB957F000 Size: 126976 File Visible: - Signed: -
Status: Hidden from the Windows API!

В папке тока с размером 65536, а с размером 126976 нету, и gmer тоже его не видит. Как его ковырнуть?

Прикрепленные файлы:



#118 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 28 Октябрь 2011 - 16:49

C:\WINDOWS\system32\DRIVERS\serial.sys-это не руткит

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#119 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 712 Сообщений:

Отправлено 28 Октябрь 2011 - 16:56

Rootkit, однозначно.
http://www.virustotal.com/file-scan/report.html?id=1412e83ec342d944b2568bcb8a593bc31148ac90e4bb985f6c96e1142eb38c2e-1313319354

#120 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 28 Октябрь 2011 - 16:56

И так на компьютере поменял тока сканер на 6.0 (отключал и включал самозащиту)

делайте с этой машины остальные логи по Правилам
+
скачайте свежий cureit и сделайте логи по Правилам и сканера и cureit загрузившись в безопасном режиме windows


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых