Уважаемый, Userr! Вчера, после быстрого сканирования, я скинул то, что получилось. Сейчас идет полное сканирование. Ту инструкцию, что Вы приложили, я вызубрил наизусть. И не надо мне повторять. Я все скопировал(Хайджек и РКУ) на флешку. Жду завершения скана. А лог с Куреита я выложил(то, что получилось). Поймите меня правильно---Я НОВИЧОК! cureit_scan.zip 36,94К 3 Скачано разpolispen,
Такое впечатление, что у Вас проблемы с чтением по-русски.
6 раз - нужны логи по Правилам http://forum.drweb.c...howtopic=277652
Где лог Hijackthis ?
Где лог <strong class="bbc">RkU
Поймал Trojan Winlock3300 Помогите!
#81
Отправлено 11 Октябрь 2011 - 09:35
#82
Отправлено 11 Октябрь 2011 - 09:53
Куда "скинули"? Кто Вас просил делать полное сканирование? Вас просили сделать логи по Правилам.Вчера, после быстрого сканирования, я скинул то, что получилось. Сейчас идет полное сканирование.
Вызубрили? отлично. подробно, по шагам рассказывайте как Вы, следуя этой инструкции, делали лог cureit. Как назывался файл, который получился в итоге, и куда Вы его выложили. файл cureit_scan.zip, который Вы 4 раза уже сюда постите, сделан нами и лежит на нашей странице Правил. Он нужен для получения логов, но это никак не результат работы cureit на Вашей машине! Вы скачали его и потом его же сюда постите. зачем?Ту инструкцию, что Вы приложили, я вызубрил наизусть. И не надо мне повторять. Я все скопировал(Хайджек и РКУ) на флешку. Жду завершения скана. А лог с Куреита я выложил(то, что получилось). Поймите меня правильно---Я НОВИЧОК! cureit_scan.zip 36,94К 3 Скачано раз
#83
Отправлено 11 Октябрь 2011 - 10:06
Вот видите, я делаю ошибки. Только сейчас понял, что все предыдущее делал не так. Что сейчас предпринять? Остановить скан? И сделать быструю проверку с последующим Хайджеком и РКУ?Куда "скинули"? Кто Вас просил делать полное сканирование? Вас просили сделать логи по Правилам.Вчера, после быстрого сканирования, я скинул то, что получилось. Сейчас идет полное сканирование.
Вызубрили? отлично. подробно, по шагам рассказывайте как Вы, следуя этой инструкции, делали лог cureit. Как назывался файл, который получился в итоге, и куда Вы его выложили. файл cureit_scan.zip, который Вы 4 раза уже сюда постите, сделан нами и лежит на нашей странице Правил. Он нужен для получения логов, но это никак не результат работы cureit на Вашей машине! Вы скачали его и потом его же сюда постите. зачем?Ту инструкцию, что Вы приложили, я вызубрил наизусть. И не надо мне повторять. Я все скопировал(Хайджек и РКУ) на флешку. Жду завершения скана. А лог с Куреита я выложил(то, что получилось). Поймите меня правильно---Я НОВИЧОК! cureit_scan.zip 36,94К 3 Скачано раз
#84
Отправлено 11 Октябрь 2011 - 10:09
Вы не поверите - сделать логи по Правилам.Что сейчас предпринять?
#85
Отправлено 11 Октябрь 2011 - 14:12
Уважаемый, Userr! Отправляю Вам долгожданные логи, кроме RKU. При запуске RKU вывелась таблица, а при нажатии Report, пустое окно. И после распаковки RKU, Значок запуска-череп с костями и название не Rootkit Unhooker LE, а 301CA38F. Жду совета. cureit-results.cab 201,53К 0 Скачано раз hijackthis.log 17,09К 5 Скачано разВы не поверите - сделать логи по Правилам.Что сейчас предпринять?
#87
Отправлено 11 Октябрь 2011 - 14:24
Это какой? И где его взять? Да, у меня получился RKU-лог. Report.txt 1,97Мб 0 Скачано разpolispen,
а лог DrWebSysInfo ?
#88
Отправлено 11 Октябрь 2011 - 14:39
#89
Отправлено 11 Октябрь 2011 - 14:49
не нужно логи отправлять по много раз.
я посмотрю вечером, сейчас возможно другие хелперы подойдут и помогут.
#90
Отправлено 11 Октябрь 2011 - 14:50
Хорошо. Спасибо!polispen,
не нужно логи отправлять по много раз.
я посмотрю вечером, сейчас возможно другие хелперы подойдут и помогут.
#91
Отправлено 11 Октябрь 2011 - 20:09
Это не фолс! 100%Я не смог сюда скинуть. Не знаю как. Не копируется файл и все. Еще такая хрень: при каждом включении с ESETа(он стоит у меня) вылазит предупреждение такого рода: ОБНАРУЖЕНА УГРОЗА! ТРЕВОГА! Объект: C:\Windows\system32\termsrv.dll Угроза: Win32/Spy.Ursnif.A вирус Комментарий: Событие произошло при попытке доступа к файлу следующим приложением: С:\Windows\system32\svchost.exe И прописано что делать: "Очистить"-не работает, "Удалить"-не удаляет, "Ничего не предпринимать". Я, соответственно ничего не делаю.Скинули в суппорт?
Ждите их ответа.
фолс нода
user Windows 64 bit
#92
Отправлено 11 Октябрь 2011 - 20:16
#93
Отправлено 11 Октябрь 2011 - 20:16
Это фолс 100%.Это не фолс! 100%
#94
Отправлено 11 Октябрь 2011 - 20:41
проверьте на вирустоталА что это? У меня всегда вылазит предупреждение с ссылкой на termsrv.dll, кэш я почистил кроме этой-нет доступа.
#95
Отправлено 11 Октябрь 2011 - 21:07
Не спорь.Это фолс 100%.Это не фолс! 100%
http://www.google.ru/#sclient=psy-ab&hl=ru&newwindow=1&source=hp&q=termsrv.dll&pbx=1&oq=termsrv.dll&aq=f&aqi=g4&aql=&gs_sm=s&gs_upl=0l0l1l52444l0l0l0l0l0l0l0l0ll0l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=9e921c47d708ce6a&biw=1178&bih=520http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm
The following files are modified:
- %system%\winlogon.exe
- %system%\termsrv.dll
http://www.virustotal.com/file-scan/report.html?id=1d716c779a7524d1f1523c55903cb773de7c62437291474bb1dd619441ab0068-1318331597
user Windows 64 bit
#96
Отправлено 11 Октябрь 2011 - 21:25
Кто-то промолчал, кто-то соврал.Не спорь.
...
http://www.virustota...0068-1318331597
Один McAfee честно сказал - "Patched Termsrv".
#97
Отправлено 11 Октябрь 2011 - 22:05
Я даже переведу.Кто-то промолчал, кто-то соврал.Не спорь.
...
http://www.virustota...0068-1318331597
Один McAfee честно сказал - "Patched Termsrv".
Краткое описание
Win32/Spy.Ursnif.A это троян, который крадет конфиденциальную информацию. Троян может отправить информацию на удаленный компьютер.
Установка
При запуске троян копирует себя в следующие места:
•%userprofile%\nah_%random%.exe%random% обозначает случайный текст.
Для того, чтобы быть выполненым на каждом старте системы, троян устанавливает следующую запись реестра:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Run]
"Nah_Shell" = "% USERPROFILE% \% случайная nah_%. EXE"
Следующие записи реестра создаются:
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion]
"Nah_opt_server1" = "78.109.23.2"
"Nah_opt_reserv" = "78.109.23.2"
"Nah_opt_forms" = "/ F / prinimalka.py / формы"
"Nah_opt_options" = "/ F / prinimalka.py / опции"
"Nah_opt_command" = "/ F / prinimalka.py / команда"
"Nah_opt_file" = "/ F / prinimalka.py / куки"
"Nah_opt_ss" = "/ cgi-bin/trash.py"
"Nah_opt_pstorage" = "/ cgi-bin/trash.py"
"Nah_opt_certs" = "/ cgi-bin/trash.py"
"Nah_opt_idproject" =% число1%
"Nah_opt_pauseopt" =% число2%
"Nah_opt_pausecert" =% number3%
"Nah_opt_deletecookie" = "%% variable1"
"Nah_opt_deletesol" = "%% variable2"
"Nah_id" = "%% variable3"
меньше ...
% Число1-3% означает случайное число.
Строка с переменным содержанием используется вместо% variable1-3%.
Следующая запись реестра будет удалена:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ активной установки \ Установленные
Components \ {12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
"StubPath"
Следующий файл изменения:
% ProgramFiles% \ Mozilla Firefox \ Chrome \ browser.manifest
Троянец создает следующие файлы:
% ProgramFiles% \ Mozilla Firefox \ Chrome \ amba.jar
Трояном создает и запускает новый поток с собственным кодом программы во всех запущенных процессах.
Он избегает тех, с любым из следующих строк в их имена:
svchost.exe
[Система Процесс]
Система
smss.exe
winlogon.exe
lsass.exe
AVP
csrss.exe
services.exe
Информация для кражи
Троян создает новую учетную запись пользователя с именем пользователя:
l%variable3%
and the password:
pentagon
Win32/Spy.Ursnif.A это троян, который крадет конфиденциальную информацию.
Следующая информация собирается:
версия операционной системы
IP-адрес компьютера
Интернет браузер по умолчанию
Троян собирает конфиденциальную информацию, когда пользователь просматривает определенные веб-сайты.
Троян может отправить информацию на удаленный компьютер. HTTP-протокол.
При добавлении исключения в Windows, настройки межсетевого экрана, троян гарантирует, что он не заблокирован.
Дополнительная информация
Следующую запись реестра устанавливается:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon \ SpecialAccounts \ UserList]
"Л% variable3%" = ""
Таким образом, троян скрывает с учетную запись пользователя
Следующие записи реестра устанавливаются:
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal
Server]
"FDenyTSConnections" = 0
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal
Server]
"TSEnabled" = 1
Таким образом, троян позволяет подключения к удаленному рабочему столу на зараженной системе.
Следующую запись реестра устанавливается:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon]
"AllowMultipleTSSessions" = 1
Этот параметр реестра позволяет быстрое переключения пользователей, которое позволяет нескольким пользователям войти в систему в одно и тоже время.
Троянец создает копии следующих файлов (источник, место назначения):
% System% \ winlogon.exe,% System% \ winlogon.old
% System% \ termsrv.dll,% System% \ termsrv.old
Изменены следующие файлы:
% System% \ winlogon.exe
% System% \ termsrv.dll
Троян для передачи данных и команд от удаленного компьютера или Интернета.
Троянец может загрузить и выполнить файл из Интернета.
Сообщение было изменено Vindows: 11 Октябрь 2011 - 22:09
user Windows 64 bit
#98
Отправлено 12 Октябрь 2011 - 09:45
Добрый день! Так, какие результаты по моим логам?Хорошо. Спасибо!polispen,
не нужно логи отправлять по много раз.
я посмотрю вечером, сейчас возможно другие хелперы подойдут и помогут.
#99
Отправлено 12 Октябрь 2011 - 09:47
Вы обещали посмотреть логи. Какие результаты и что мне делать?polispen,
а лог DrWebSysInfo ?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых