Перейти к содержимому


Фото
- - - - -

Лечить комп, попытки доступа к сети


  • Please log in to reply
22 ответов в этой теме

#1 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 14:09

Добрый день!

Первый раз обращаюсь по такому вопросу не судите строго, если что не так)

Неделю назад случайно скачал программу и в которой был вирус, точнее куча вирусов.

Спасибо Dr.Web все удалил! Уже три дня делаю полную проверку ничего нет.

Настораживает только один момент

 

После включения компьютера появляется окошко:

Брандмауэр Dr.Web обнаружил попытку доступа к сети

Имя приложения:       pythonw.exe

Путь к приложению:  C:\Users\Марат\AppData\Roaming\PBot\python\pythonw.exe

Цифровая подпись:   не подписано

Адрес:                         udp://8.8.8.8

Порт:                           53 (domain)

Направление:             Исходящее

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 770 Сообщений:

Отправлено 14 Декабрь 2016 - 14:09

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Декабрь 2016 - 14:10

Случайно нашел, случайно скачал, случайно запустил...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 037 Сообщений:

Отправлено 14 Декабрь 2016 - 14:11

Проверить на

http://virustotal.com

этот файл.

Если не пишете ничего на Питоне и вообще не знаете, о чём это я сейчас - пофиксить строку в HJ.


Сообщение было изменено Dmitry_rus: 14 Декабрь 2016 - 14:13


#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Декабрь 2016 - 14:12

Проверить на

http://virustotal.com

этот файл.

Это интерпретатор питона с некоторой вероятностью :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 037 Сообщений:

Отправлено 14 Декабрь 2016 - 14:14

Я бы сказал, что близкой к 1. :)



#7 pig

pig

    Бредогенератор

  • Helpers
  • 10 746 Сообщений:

Отправлено 14 Декабрь 2016 - 14:35

А не заслать ли в вирлаб целиком папку C:\Users\Марат\AppData\Roaming\PBot\ ? Мало ли что этот бот делает.
Почтовый сервер Eserv тоже работает с Dr.Web

#8 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 408 Сообщений:

Отправлено 14 Декабрь 2016 - 14:39

Это уже 3 пользователь с PBot\python\pythonw.exe

 

Последнее что нашел с таким именем в песочнице 

 

https://www.hybrid-analysis.com/sample/8dadee9454026c8fbae76586e375dc5e6c0ab8d9655d1b6e7d8d19a072396ec7?environmentId=5 (но это старье 2015 года и мы детектим).



#9 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 408 Сообщений:

Отправлено 14 Декабрь 2016 - 14:42

Марат  Вы можете проверить вот этот файл C:\Users\Марат\AppData\Roaming\PBot\python\pythonw.exe  на VT (https://www.virustotal.com/),и результат показать тут (ссылку)? 

 


Имя приложения:       pythonw.exe

Путь к приложению:  C:\Users\Марат\AppData\Roaming\PBot\python\pythonw.exe

 



#10 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 14:46

На http://virustotal.com проверил этот файл и еще три файла в папке с ним, ничего не нашел. 

Профиксил строку в HJ. Помогло, брандмауэр молчит.

Спасибо за помощь!!!

Попробую сейчас всю папку PBot еще проверить



#11 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 408 Сообщений:

Отправлено 14 Декабрь 2016 - 14:49

Можно ссылку? не трудно? PBot\python\pythonw.exe

 

SHA256 это файла :rolleyes:  


Сообщение было изменено Dmitry Shutov: 14 Декабрь 2016 - 14:50


#12 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 14:53

Да, конечно

https://www.virustotal.com/ru/file/58d67ee228f10a626f8353f7b120c54568d9d704a5b00e9b9e537af27a920e17/analysis/1481716245/



#13 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 408 Сообщений:

Отправлено 14 Декабрь 2016 - 14:59

Хм...а вы пользуетесь Питоном?



#14 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 15:03

Нет, я даже незнаю что это такое. Недвно скачал его думал обновится может, появится в программах, чтоб удалить. Скачал, установил, удалил. А эта папка все равно осталась



#15 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 408 Сообщений:

Отправлено 14 Декабрь 2016 - 15:17

Дела....вопрос к аналитикам, а если малварь написанная на Питоне (для запуска нужен установленный Питон), в Eset вчера обзор сделали https://drw.sh/ctsmxx там бэкдор на Питоне тоже писан.

 

Вчера сэмпл из этой статьи выслал в вирлаб drweb.com #7388662

https://www.virustotal.com/en/file/904df5d6b900fcdac44c002f03ab1fbc698b8d421a22639819b3b208aaa6ea2c/analysis/ 


Сообщение было изменено Dmitry Shutov: 14 Декабрь 2016 - 15:17


#16 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 15:18

В папке с ним еще файлы: python.exe, python34.dll, msvcr100.dll



#17 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 15:30

В папке  PBot/js   файл ext_filter.js    DrWeb нашел Python.Bot.2 

Ссылка на проверенный файл https://www.virustotal.com/ru/file/75c436e9c68fda494dcacf558a5bf9eccf2b1d610e496bcd048bdc31f5edda3a/analysis/1481718067/


Сообщение было изменено Марат123: 14 Декабрь 2016 - 15:32


#18 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 15:44

В папке  PBot   файл app.py    DrWeb нашел Python.Bot.2 

Ссылка на проверенный файл

https://www.virustotal.com/ru/file/20c49b5bd30c5e1ce8d2b7387422b437d8929180938c641708b67c5bd0838a97/analysis/1481718987/



#19 Марат123

Марат123

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 14 Декабрь 2016 - 15:51

Нашел в папке PBot вот такие интересные файлы. Вопрос а нельзя просто удалить эту папку?

Прикрепленные файлы:

  • Прикрепленный файл  rules.ini   2,41К   0 Скачано раз
  • Прикрепленный файл  settings.ini   19,92К   1 Скачано раз


#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 14 Декабрь 2016 - 16:03

IMHO можно и удалить ее.


Личный сайт по Энкодерам - http://vmartyanov.ru/



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых