Ситуация такая. На машину проник комплекс троянов.
Сообщение было изменено Ivan Korolev: 21 Январь 2019 - 07:38
removed malicious links
Отправлено 20 Январь 2019 - 20:04
Ситуация такая. На машину проник комплекс троянов.
Сообщение было изменено Ivan Korolev: 21 Январь 2019 - 07:38
removed malicious links
Отправлено 20 Январь 2019 - 21:00
Отправлено 20 Январь 2019 - 22:15
Вам сюда: https://forum.drweb.com/index.php?showforum=35
Сейчас переместят. А пока читайте и выполняйте: https://forum.drweb.com/index.php?showtopic=313238
Читал я это. Не устраивает. В этих отчетах нарушение приватности, имена пользователей, структура каталогов, имена файлов и прочее. Поэтому и пишу сюда, нужна общий совет в какую сторону копать. Потому как стандартные требования по запуску CureIt, которые описаны на сайте DrWeb ничего не дают. Он тупо находит только то, что и так можно увидить и удалить руками в FARе например.
Отправлено 20 Январь 2019 - 22:49
В этих отчетах нарушение приватности
Экстрасенсы к сожалению в отпуске, а без отчетов поток фантазии может зарулить не туда. Ну а если по делу, то я бы обратил внимание на планировщик задача, точнее на наличие там "левых" заданий. Возможно там и разгадка находится.
Отправлено 20 Январь 2019 - 23:49
Копать всё равно в сторону логов. А уж коли боитесь за приватность - изучайте их сами. Авось углядите лишнее.
Вот в том то и дело, что я вижу только результат, а не причину. Даже скрипт wmi понятно, как работает. Но инициатора всего этого нигде в логах нету. Руткит все скрывает. Я ведь даже сами файлы троянов прислал. Наверняка же известны схемы их проникновения и маскировки. Но текущий CureIt не может вылечить. Опознать файлы по сигнатуре и удалить это и дурак сможет)
Планировщик конесно первый на подозрении. Посмотрел сразу, заданий нет, я его даже отключил, но вирус, его включает опять. Хотя заданий нет и логи чистые. Может опять же руткит скрывает. Пока закрыл исходящие соединения файрволом, вирус активизироваться не может. Хотя видна деятельность, переодически запускается wmiprvse.exe, видимо скрипт отрабатывает. но не может соединиться с хостом. CureIt опять же молчит, угроз не обнаружено))
P.S. ОС Windows XP, TODO китайская?
Кому знакомы такие симптомы? Как бороться?
Отправлено 20 Январь 2019 - 23:52
Я вроде архив с вирусами прикреплял, в первом посте, но не вижу.
Сообщение было изменено Ivan Korolev: 21 Январь 2019 - 07:37
Removed malware
Отправлено 21 Январь 2019 - 07:36
Если ванговать - ставьте MS17-010. Для нормального ответа, выкладывайте лог sysinfo. Если боитесь выкладывать в паблик, можете ссылку мне в личку отправить.
Отправлено 21 Январь 2019 - 11:42
Логи можно в личку или через СТП или форму вирлаба.
Так-то да, в ХП легко могут по сети заползать, не имея постоянной базы на самом хосте.
Отправлено 21 Январь 2019 - 11:47
SectorDelta, Вы логи любым из вышеперечисленных способов уже отправили?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 21 Январь 2019 - 12:51
Если бы я хотел отправлять логи, я написал бы в помощь по лечению. Я специально написал в общие вопросы, чтобы получить общую концепцию лечения. А не подход типа пришла домохозяйка на прием, давай документы и сиди тихо жди. Мне казалось, что для данного раздела форума я отправил более чем достаточно данных: название всех троянов, все найденные файлы, службы, скрипты. Трояны опознаны, значит уже исследованы, стандартные методы проникновения должны быть известны. Хоть что-то должно быть известно. Если все это в рамках данного раздела форума "фантазии" и "вангование", то я даже не знаю что тут еще сказать. Не такого я ожидал от специализированного форума известного антивируса. DrWeb тут возможно не причем, но все равно желание покупать какие-то платные продукты при таком подходе отпадает. Антиреклама (
Отправлено 21 Январь 2019 - 13:00
SectorDelta, здесь, как Вы правильно заметили, специализированный форум, а не бесплатные курсы по обучению борьбе с сусликами.
С какой стати вирусные аналитики должны тратить своё время на теоретические разъяснения Вам, вместо того, чтобы (при наличии логов) решить задачу за несколько минут.
У них и без этого дел предостаточно...
Нет логов - нет проблемы. © народное.
Тема закрыта.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
0 пользователей, 1 гостей, 0 скрытых