Перейти к содержимому


Фото
- - - - -

Неизвестный Вирус


  • Закрыто Тема закрыта
172 ответов в этой теме

#1 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 08 Январь 2009 - 10:11

Доброе время суток! 
Столкнулся с проблемой. Не обновляется Dr.Web(лицензия) на сайт не заходит, так же не заходит не на один из антивирусных сайтов, онлайн сканеры тоже. Пишет, что невозможно отобразить страницу. Данная проблема на двух компьютерах. Пробовал с компа на работе, всё нормально заходит. Переустановил виндовс, всё вроде бы заработало и на сайт заходит, и обновляется drweb, но только не долго длилось это счастье. Сейчас, всё по-прежнему!
Скачивал бесплатный сканер, сканил в безопасном режиме, не чего всё чисто.
Подскажите, что делать, как быть!
Заранее, спасибо за оказанное внимание!

#2 Axel

Axel

    Member

  • Posters
  • 215 Сообщений:

Отправлено 08 Январь 2009 - 10:34

Так есть же инструкция.

Если при проверке ничего не находится, а симптомы вируса/трояна остаются (исходящий траффик, появление новых файлов, изменение размеров существующих файлов и т. п.), то нужно скачать по ссылкам ниже Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделать логи и прикрепить к теме.



#3 Black Angel

Black Angel

    Virus Hunter

  • Virus hunters
  • 993 Сообщений:

Отправлено 08 Январь 2009 - 12:52

А файрвол не стоит? Может он блочит?

cfnfa43pvw.jpg

Dr.Web Security Space 11.0
Windows 10 x64 + автообновления


#4 Leshiu

Leshiu

    Member

  • Posters
  • 190 Сообщений:

Отправлено 08 Январь 2009 - 13:58

Подтверждаю существования данного вирусяги, Веб не видет... Вирусяга практически напрочь блокирует сетевые подключения, при этом может создавать свои с не понятными именами... Ну и соотвественно блочит сайты известных антивирусов, майкрософта и прочего... Файл hosts при это чистый. Уже не один комп с такой бодягой, винды разные и ХР и Сервер 2003. Отследить и поймать пока не удалось...

#5 Black Angel

Black Angel

    Virus Hunter

  • Virus hunters
  • 993 Сообщений:

Отправлено 08 Январь 2009 - 14:14

Denis Karpikov Логи делали?

cfnfa43pvw.jpg

Dr.Web Security Space 11.0
Windows 10 x64 + автообновления


#6 Leshiu

Leshiu

    Member

  • Posters
  • 190 Сообщений:

Отправлено 08 Январь 2009 - 15:36

Denis Karpikov Логи делали?

Нет, не я занимался.

#7 АлВЕк

АлВЕк

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 08 Январь 2009 - 16:07

Два дня назад было такое. Это авторанер. В %windir%\system32 есть dll 'ка. Она скрытая и DrWeb (и не только) её не сканируют. Думаю её название случайно. Посмотри в spidernt.log. У меня была следующая строка: 05-01-2009 22:06:26 [BG] (PID = 1180) C:\windows\system32\ubkfhgrj.dll - не удалось просканировать, файл используется другой программой. Это и была вирусная dll 'ка. Удалить её не получится, а вот переименовать у меня получилось (через Far). Так же почитай http://hitforum.net.ua/showthread.php?t=40925.
Вирус изменяет права на редактирование некоторых настроек (например показывать скрытые файлы в explorere). Поищи в Инете "Восстановление значений по умолчанию параметров безопасности"

#8 АлВЕк

АлВЕк

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 08 Январь 2009 - 16:14

И еще. Он блокирует доступ в интернет именно по DNS-имена. Если вместо них использовать IP-адреса, то на некоторые антивирусные сайты зайти полечается. Что-бы определить IP'шник можно использовать сервис http://rassanov.ru/web-tools/ping-IP-domain.htm

#9 АлВЕк

АлВЕк

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 08 Январь 2009 - 16:24

Да. Этот вирус прописывается как служба. Надо-бы почистить реестр. А т.к. это авторанер проверьте свои флешки.
Я не понимаю, почему DrWeb, которому я до сих пор доверял (с небольшой долей осторожности), никак не определяет эту вирусную dll'ку. Я себе оставил этот файлик каждый день обновляю базы и проверяю файлик, но DrWeb всё ещё его не распознал, а с помощью сервиса http://virusscan.jotti.org/ можно увидеть, какие проги его определяют.

#10 Black Angel

Black Angel

    Virus Hunter

  • Virus hunters
  • 993 Сообщений:

Отправлено 08 Январь 2009 - 16:29

АлВЕк
в Вирлаб отсылали? Если отсылали и тикет пока не обработан, напишите номер тикета сюда

cfnfa43pvw.jpg

Dr.Web Security Space 11.0
Windows 10 x64 + автообновления


#11 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 09 Январь 2009 - 00:45

Так есть же инструкция.

Если при проверке ничего не находится, а симптомы вируса/трояна остаются (исходящий траффик, появление новых файлов, изменение размеров существующих файлов и т. п.), то нужно скачать по ссылкам ниже Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделать логи и прикрепить к теме.


Прикрепленный файл  hijackthis.rar   1,64К   181 Скачано разПрикрепленный файл  report.rar   2,84К   167 Скачано раз

Вот report`s если что не так сдела, сильно не пинайте.

#12 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2009 - 02:10

Вот report`s если что не так сдела, сильно не пинайте.

И слабо пинать тоже не будем. :rolleyes:
Пофиксите в Хайджеке:
R3 - Default URLSearchHook is missing

А такое я впервые вижу:
O4 - HKCU\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32
O4 - HKCU\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
Что это!? :) Такое впечатление, что ИЭ 7.0 как-то подозрительно криво встал...

По логу РкУ ничего подозрительного не вижу...
С уважением,
Борис А. Чертенко aka Borka.

#13 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 129 Сообщений:

Отправлено 09 Январь 2009 - 02:18

логи RKU/HijackThis нужно делать в обычном режиме а не безопасном. лог сканирование CureIt тоже прикрепите пожалуйста.

193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#14 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2009 - 02:26

193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?

Судя по айпишнику - да.
С уважением,
Борис А. Чертенко aka Borka.

#15 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 09 Январь 2009 - 09:11

логи RKU/HijackThis нужно делать в обычном режиме а не безопасном. лог сканирование CureIt тоже прикрепите пожалуйста.

193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?


Прошу прошение за свою безграмотность :rolleyes: , первый раз имею дело с данным видом софта.

Вот report, в обычном режиме!!



Прикрепленный файл  hijackthis.rar   1,45К   162 Скачано разПрикрепленный файл  report.rar   2,58К   167 Скачано раз

#16 _Sandra_

_Sandra_

    Newbie

  • Posters
  • 57 Сообщений:

Отправлено 09 Январь 2009 - 09:24

Столкнулся и я вчера вечером с этой гадостью... Выговор вашему вирлабу! Вчера днем боролся с Trojan.Siggen.2002, так вот, этот самый неизвесный вирус очень смахивает на его модификацию, по крайнем мере и тот и другой на флешку записывают RECYCLER\ (в котором типа UIN пользователя и лежит сам вирус с произвольным именем) autorun.inf (с "непонятным" содержимым). Так вот, Trojan.Siggen.2002 вы добавили, а то что этот новый неизвесный вирус делает тоже самое, и даже намека на определение...

ЗЫЖ На всякий случай [drweb.com #751415] Пытался его отправлять вчера вечером - тикета небыло, толи тикет потерялся, толи вирус недошел... Это отправил еще раз утром

#17 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 11:00

Есть такая проблема...
Временное решение - прописать эти строки в hosts:

87.242.72.150 drweb.com news.drweb.com products.drweb.com solutions.drweb.com

download.drweb.com support.drweb.com new-estore.drweb.com new-download.drweb.com

new-support.drweb.com
87.242.75.131 update.msk7.drweb.com
78.107.100.10 update.msk5.drweb.com
81.176.67.170 update.msk3.drweb.com
83.102.130.174 update.drweb.com
81.176.67.171 update.msk.drweb.com
209.160.33.8 update.us.drweb.com
87.242.75.130 update.msk6.drweb.com
91.121.123.94 update.fr1.drweb.com
84.204.76.121 forum.drweb.com

Неохота насиловать компутер ради одного вируса, хотя наверное придется если товарищи из дрвеба ниче не сделают...
Слегка разочарован в этом програмном продукте.

#18 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2009 - 14:10

Вот report, в обычном режиме!!

Ничего не измменилось. Попробуйте переставить ИЭ.
С уважением,
Борис А. Чертенко aka Borka.

#19 Алексс

Алексс

    Member

  • Posters
  • 356 Сообщений:

Отправлено 09 Январь 2009 - 16:02

У меня таже эта зараза есть. Но недетектируемые файлы были только на одном компьютере.На остальных ни следа слоумышленика, хотя службы сети и сервера отключаются, при вставке флешки аторан появляется немедленно на
ней. но вот что интересно авторан детектируется эвристикой. Что указывает на новую модификацию виря. на сайты антивирусные уже захожу (были с этим проблемы), есть подозрения что существуют проблемы с обновлением
кол-во вирей в базах не совпадает с заявленным на сайте, с версией 4,44 таже история похоже, только вот на сайте не вижу кол-ва вирусов по этой версии почему-то, что есть очень плохо и это неуважение к пользователям.

Это то, что антивирь не видел на одной из машин http://www.virustotal.com/ru/analisis/1050...f8ffee2dc032dda
Какие будут предложения по поимке и лечению заразы с учётом того что времяне ждёт, вирь распространяется по сетке, логи уже выложены другими.
Как оказалось этот вирь есть в нескольких огранизациях уже, многие списывают его работу на глюки свичей :rolleyes:

#20 headliner

headliner

    О-ло-ло!

  • Virus hunters
  • 547 Сообщений:

Отправлено 09 Январь 2009 - 16:08

У меня таже эта зараза есть. Но недетектируемые файлы были только на одном компьютере.На остальных ни следа слоумышленика, хотя службы сети и сервера отключаются, при вставке флешки аторан появляется немедленно на
ней. но вот что интересно авторан детектируется эвристикой. Что указывает на новую модификацию виря. на сайты антивирусные уже захожу (были с этим проблемы), есть подозрения что существуют проблемы с обновлением
кол-во вирей в базах не совпадает с заявленным на сайте, с версией 4,44 таже история похоже, только вот на сайте не вижу кол-ва вирусов по этой версии почему-то, что есть очень плохо и это неуважение к пользователям.

Это то, что антивирь не видел на одной из машин http://www.virustotal.com/ru/analisis/1050...f8ffee2dc032dda
Какие будут предложения по поимке и лечению заразы с учётом того что времяне ждёт, вирь распространяется по сетке, логи уже выложены другими.

Слейте переносную версию каспера (avp tool) и лечите компы, потом заразу которую найдет каспер залейте вирлабу веба.
http://avptool.virusinfo.info/


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых