98 ответов в этой теме

[polispen]

polispen,
Такое впечатление, что у Вас проблемы с чтением по-русски.
6 раз - нужны логи по Правилам http://forum.drweb.c...howtopic=277652
Где лог Hijackthis ?

Где лог <strong class="bbc">RkU

Уважаемый, Userr! Вчера, после быстрого сканирования, я скинул то, что получилось. Сейчас идет полное сканирование. Ту инструкцию, что Вы приложили, я вызубрил наизусть. И не надо мне повторять. Я все скопировал(Хайджек и РКУ) на флешку. Жду завершения скана. А лог с Куреита я выложил(то, что получилось). Поймите меня правильно---Я НОВИЧОК!  cureit_scan.zip   36,94К   3 Скачано раз

[userr]

Вчера, после быстрого сканирования, я скинул то, что получилось. Сейчас идет полное сканирование.

Куда "скинули"? Кто Вас просил делать полное сканирование? Вас просили сделать логи по Правилам.

Ту инструкцию, что Вы приложили, я вызубрил наизусть. И не надо мне повторять. Я все скопировал(Хайджек и РКУ) на флешку. Жду завершения скана. А лог с Куреита я выложил(то, что получилось). Поймите меня правильно---Я НОВИЧОК!  cureit_scan.zip   36,94К   3 Скачано раз

Вызубрили? отлично. подробно, по шагам рассказывайте как Вы, следуя этой инструкции, делали лог cureit. Как назывался файл, который получился в итоге, и куда Вы его выложили. файл cureit_scan.zip, который Вы 4 раза уже сюда постите, сделан нами и лежит на нашей странице Правил. Он нужен для получения логов, но это никак не результат работы cureit на Вашей машине! Вы скачали его и потом его же сюда постите. зачем?

[polispen]

Вчера, после быстрого сканирования, я скинул то, что получилось. Сейчас идет полное сканирование.

Куда "скинули"? Кто Вас просил делать полное сканирование? Вас просили сделать логи по Правилам.

Ту инструкцию, что Вы приложили, я вызубрил наизусть. И не надо мне повторять. Я все скопировал(Хайджек и РКУ) на флешку. Жду завершения скана. А лог с Куреита я выложил(то, что получилось). Поймите меня правильно---Я НОВИЧОК!  cureit_scan.zip   36,94К   3 Скачано раз

Вызубрили? отлично. подробно, по шагам рассказывайте как Вы, следуя этой инструкции, делали лог cureit. Как назывался файл, который получился в итоге, и куда Вы его выложили. файл cureit_scan.zip, который Вы 4 раза уже сюда постите, сделан нами и лежит на нашей странице Правил. Он нужен для получения логов, но это никак не результат работы cureit на Вашей машине! Вы скачали его и потом его же сюда постите. зачем?

Вот видите, я делаю ошибки. Только сейчас понял, что все предыдущее делал не так. Что сейчас предпринять? Остановить скан? И сделать быструю проверку с последующим Хайджеком и РКУ?

[userr]

Что сейчас предпринять?

Вы не поверите - сделать логи по Правилам.

[polispen]

Что сейчас предпринять?

Вы не поверите - сделать логи по Правилам.

Уважаемый, Userr! Отправляю Вам долгожданные логи, кроме RKU. При запуске RKU вывелась таблица, а при нажатии Report, пустое окно. И после распаковки RKU, Значок запуска-череп с костями и название не Rootkit Unhooker LE, а 301CA38F. Жду совета.  cureit-results.cab   201,53К   0 Скачано раз  hijackthis.log   17,09К   5 Скачано раз

[userr]

polispen,
а лог DrWebSysInfo ?

[polispen]

polispen,
а лог DrWebSysInfo ?

Это какой? И где его взять? Да, у меня получился RKU-лог.  Report.txt   1,97Мб   0 Скачано раз

[polispen]

polispen,
а лог DrWebSysInfo ?

Вот и лог.  SAMLAB_Admin_111011_152816.zip   3,19Мб   1 Скачано раз

[userr]

polispen,
не нужно логи отправлять по много раз.
я посмотрю вечером, сейчас возможно другие хелперы подойдут и помогут.

[polispen]

polispen,
не нужно логи отправлять по много раз.
я посмотрю вечером, сейчас возможно другие хелперы подойдут и помогут.

Хорошо. Спасибо!

[Vindows]

Скинули в суппорт?
Ждите их ответа.

Я не смог сюда скинуть. Не знаю как. Не копируется файл и все. Еще такая хрень: при каждом включении с ESETа(он стоит у меня) вылазит предупреждение такого рода: ОБНАРУЖЕНА УГРОЗА! ТРЕВОГА! Объект: C:\Windows\system32\termsrv.dll Угроза: Win32/Spy.Ursnif.A вирус Комментарий: Событие произошло при попытке доступа к файлу следующим приложением: С:\Windows\system32\svchost.exe И прописано что делать: "Очистить"-не работает, "Удалить"-не удаляет, "Ничего не предпринимать". Я, соответственно ничего не делаю.

фолс нода

Это не фолс! 100%

[polispen]

А что это? У меня всегда вылазит предупреждение с ссылкой на termsrv.dll, кэш я почистил кроме этой-нет доступа.

[AndreyKa]

Это не фолс! 100%

Это фолс 100%.

[mrbelyash]

А что это? У меня всегда вылазит предупреждение с ссылкой на termsrv.dll, кэш я почистил кроме этой-нет доступа.

проверьте на вирустотал

[Vindows]

Это не фолс! 100%

Это фолс 100%.

Не спорь.

http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm
The following files are modified:

• %system%\winlogon.exe
• %system%\termsrv.dll

http://www.google.ru/#sclient=psy-ab&hl=ru&newwindow=1&source=hp&q=termsrv.dll&pbx=1&oq=termsrv.dll&aq=f&aqi=g4&aql=&gs_sm=s&gs_upl=0l0l1l52444l0l0l0l0l0l0l0l0ll0l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=9e921c47d708ce6a&biw=1178&bih=520

http://www.virustotal.com/file-scan/report.html?id=1d716c779a7524d1f1523c55903cb773de7c62437291474bb1dd619441ab0068-1318331597

[AndreyKa]

Не спорь.
...
http://www.virustota...0068-1318331597

Кто-то промолчал, кто-то соврал.
Один McAfee честно сказал - "Patched Termsrv".

[Vindows]

Не спорь.
...
http://www.virustota...0068-1318331597

Кто-то промолчал, кто-то соврал.
Один McAfee честно сказал - "Patched Termsrv".

Я даже переведу.

Краткое описание
Win32/Spy.Ursnif.A это троян, который крадет конфиденциальную информацию. Троян может отправить информацию на удаленный компьютер.
Установка
При запуске троян копирует себя в следующие места:
•%userprofile%\nah_%random%.exe%random% обозначает случайный текст.
Для того, чтобы быть выполненым на каждом старте системы, троян устанавливает следующую запись реестра:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Run]
"Nah_Shell" = "% USERPROFILE% \% случайная nah_%. EXE"
Следующие записи реестра создаются:
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion]
"Nah_opt_server1" = "78.109.23.2"
"Nah_opt_reserv" = "78.109.23.2"
"Nah_opt_forms" = "/ F / prinimalka.py / формы"
"Nah_opt_options" = "/ F / prinimalka.py / опции"
"Nah_opt_command" = "/ F / prinimalka.py / команда"
"Nah_opt_file" = "/ F / prinimalka.py / куки"
"Nah_opt_ss" = "/ cgi-bin/trash.py"
"Nah_opt_pstorage" = "/ cgi-bin/trash.py"
"Nah_opt_certs" = "/ cgi-bin/trash.py"
"Nah_opt_idproject" =% число1%
"Nah_opt_pauseopt" =% число2%
"Nah_opt_pausecert" =% number3%
"Nah_opt_deletecookie" = "%% variable1"
"Nah_opt_deletesol" = "%% variable2"
"Nah_id" = "%% variable3"

меньше ...
% Число1-3% означает случайное число.
Строка с переменным содержанием используется вместо% variable1-3%.
Следующая запись реестра будет удалена:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ активной установки \ Установленные
Components \ {12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
"StubPath"
Следующий файл изменения:
% ProgramFiles% \ Mozilla Firefox \ Chrome \ browser.manifest

Троянец создает следующие файлы:
% ProgramFiles% \ Mozilla Firefox \ Chrome \ amba.jar

Трояном создает и запускает новый поток с собственным кодом программы во всех запущенных процессах.
Он избегает тех, с любым из следующих строк в их имена:
svchost.exe
[Система Процесс]
Система
smss.exe
winlogon.exe
lsass.exe
AVP
csrss.exe
services.exe

Информация для кражи
Троян создает новую учетную запись пользователя с именем пользователя:
l%variable3%

and the password:
pentagon

Win32/Spy.Ursnif.A это троян, который крадет конфиденциальную информацию.
Следующая информация собирается:
версия операционной системы
IP-адрес компьютера
Интернет браузер по умолчанию

Троян собирает конфиденциальную информацию, когда пользователь просматривает определенные веб-сайты.
Троян может отправить информацию на удаленный компьютер. HTTP-протокол.

При добавлении исключения в Windows, настройки межсетевого экрана, троян гарантирует, что он не заблокирован.

Дополнительная информация
Следующую запись реестра устанавливается:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon \ SpecialAccounts \ UserList]
"Л% variable3%" = ""
Таким образом, троян скрывает с учетную запись пользователя
Следующие записи реестра устанавливаются:
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal
Server]
"FDenyTSConnections" = 0
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal
Server]
"TSEnabled" = 1

Таким образом, троян позволяет подключения к удаленному рабочему столу на зараженной системе.
Следующую запись реестра устанавливается:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon]
"AllowMultipleTSSessions" = 1
Этот параметр реестра позволяет быстрое переключения пользователей, которое позволяет нескольким пользователям войти в систему в одно и тоже время.
Троянец создает копии следующих файлов (источник, место назначения):
% System% \ winlogon.exe,% System% \ winlogon.old
% System% \ termsrv.dll,% System% \ termsrv.old

Изменены следующие файлы:
% System% \ winlogon.exe
% System% \ termsrv.dll

Троян для передачи данных и команд от удаленного компьютера или Интернета.
Троянец может загрузить и выполнить файл из Интернета.

Сообщение было изменено Vindows: 11 Октябрь 2011 - 22:09

[polispen]

polispen,
не нужно логи отправлять по много раз.
я посмотрю вечером, сейчас возможно другие хелперы подойдут и помогут.

Хорошо. Спасибо!

Добрый день! Так, какие результаты по моим логам?

[polispen]

polispen,
а лог DrWebSysInfo ?

Вы обещали посмотреть логи. Какие результаты и что мне делать?