Перейти к содержанию
Правила раздела

Новый банер

sandkey

От sandkey
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sandkey Профи

sandkey

Опубликовано
Опубликовано

Привезли комп с банером. Есно никаких логов сделать нельзя. Делать надо было срочно. КАВ 11.556 обновлен полностью. С winpe загрузился вышиб сам файл и его загрузку с реестра. После перезагрузки опять банер и на том же месте. Помог откат системы. Проверка mbam дала следующее

mbam_log_2011_04_11__15_23_48_.txt

Жесть конечно и это при рабочем КАВ. Отправил запрос на исследование этого файла. Вирь КАВом с крайними базами сейчас не детектится.

virustotal дает

http://www.virustotal.com/file-scan/report...ee19-1302537542

Комп отдал так что логи сделать не могу. Админы если не в тему написал, переместите или удалите тему.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

делайте логи. видны следы Stuxnet

 

Удалите в MBAM:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263} (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые файлы:
c:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.

 

 

Жесть конечно и это при рабочем КАВ.

AV по сравнению с IS изначально "ущербнее"...

был бы KIS - вот решение

http://support.kaspersky.ru/faq/?qid=208638548

Ссылка на комментарий
Поделиться на другие сайты
sandkey Профи

sandkey

Опубликовано
  • Автор
Опубликовано (изменено)
делайте логи

Комп приехал с СК. С кучей документов, есно делал под контролем. Запустился и сразу отдал(((.

AV по сравнению с IS изначально "ущербнее"...

Не я ставил КАВ, То что mbam нашел это все один сегодняшний вирь?

 

PS пришел ответ от вирлаба

 

22CC6C32.exe_ - Trojan.Win32.Menti.gena

Детектирование файла будет добавлено в следующее обновление.

Изменено пользователем sandkey
Ссылка на комментарий
Поделиться на другие сайты
sandkey Профи

sandkey

Опубликовано
  • Автор
Опубликовано (изменено)
нет

Roman_Five а у вирлаба подобная технология поиска,лечения и удаления такого есть? Допустим я включил полную проверку. Я так понял что в реестре остались ключи от прошлых вирей и КАВ(КИС) в состоянии это вычислить? или же все равно нужно держать mbam и регулярно им проверять?

Изменено пользователем sandkey
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Я так понял что в реестре остались ключи от прошлых вирей

да.

КАВ(КИС) в состоянии это вычислить

"следы" постфактум - нет. при активном заражении - да.

"последствия" (нарушение парметров безопасности системыи браузера) - да.

нужно держать mbam и регулярно им проверять

не рекомендуется, т.к. они потенциально несовместимы.

MBAM даёт много фолсов при сигнатурном детекте.

а у вирлаба подобная технология поиска,лечения и удаления такого есть?

чего "такого"?

 

если Вы об этом

22CC6C32.exe_ - Trojan.Win32.Menti.gena

то благодаря Вам - уже есть. :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ns.rassvet
      [РЕШЕНО] Открывается страница с сайтом при включении ПК и Банер с погодой!
      От ns.rassvet
      При включении ПК, всегда открывается страница с незагружаемым сайтом, а так же появился банер с погодой в правом нижнем углу, который не могу убрать. Посмотрите пожалуйста логи, буду очень благодарен.

      DESKTOP-OEHJQIP_2025-01-24_18-22-48_v4.13.7z
    • Bercolitt
      Появился новый Bug с экранной клавиатурой.
      От Bercolitt
      Захожу в браузер в режиме безопасных платежей.Вызываю экранную клавиатуру комбинацией клавиш
      Ctrl+Alt+Shift+P. После этого пытаюсь зайти в личный кабинет online.vtb. Нажимаю клавишу для получения смс-ки. Однако клавиша не срабатывает, смс не приходит.Повторное нажатие - тот же результат. Никаких диагностических сообщений не поступает.Как-будто семафорная блокировка по одному и тому же программному ресурсу. Выключаю виртуальную клавиатуру и клавиша запроса смс срабатывает. Bug появился сегодня.
    • Aleksey Maslov
      Не появляются новые алерты в Kaspersky Security Center Web Console
      От Aleksey Maslov
      Добрый день! 
      KSC Версия: 15.1.1351 (EDR Optimun)

      Сейчас в KSC в разделе "Мониторинг и отчеты/Алерты" не появляются новые события.
      На защищенном ПК KES отрабатывает тестовый EICAR файл и вредоносные ссылки, фиксирует у себя в Отчетах. Но в Kaspersky Security Center Web Console эти Алерты не появляются.
      Места на диске достаточно.


    • KL FC Bot
      Новый стилер Tria перехватывает SMS на Android | Блог Касперского
      От KL FC Bot
      Свадьба — это, пожалуй, одно из главных событий в жизни каждого человека. Во многих странах принято приглашать на торжество сотни людей — в том числе и малознакомых. Особенностями традиций пользуются и кибернегодяи — они используют приглашения на свадьбу в качестве приманки для дальнейшей атаки на пользователей смартфонов на Android.
      Рассказываем, что на этот раз придумали злоумышленники и как от этого защититься.
      Как связаны свадьбы и APK-файлы
      Возможно, вы уже слышали про нашу глобальную сеть обмена сведениями об угрозах Kaspersky Security Network (KSN). В ней в 2024 году мы заметили несколько подозрительных и однозначно вредоносных образцов APK-файлов, распространявшихся в Малайзии и Брунее. Вместе с этим в соцсетях были обнаружены многочисленные треды пользователей Android из тех же стран: они жаловались на взломы личных аккаунтов в WhatsApp и рассылку через мессенджеры подозрительных APK-файлов.
      Связав две эти истории воедино, мы поняли: злоумышленники отправляют пользователям Android в Брунее и Малайзии приглашения на свадьбы в виде… APK-файла, который необходимо самостоятельно установить на свой смартфон. В переписке злоумышленник начинает с извинений за то, что приглашает на такое важное событие через WhatsApp, а не лично, и любезно предлагает найти время и место торжества в приложенном файле. Как вы уже догадались, к сообщению приложен тот самый вредоносный APK-файл, обнаруженный нами в KSN.
      Примеры приглашений на свадьбу, которые рассылают злоумышленники на индонезийском языке
      В этой схеме используются две версии одного и того же стилера (одна появилась в марте 2024-го, а другая, с дополнительной функциональностью, — в августе), который мы назвали Tria — по имени пользователя, предположительно, отвечающего за поддержку или даже за всю организацию этой кампании.
       
      View the full article
    • Sandynist
      Android System SafetyCore — новый уровень безопасности вашего смартфона на Андроид!
      От Sandynist
      Добрый день!
       
      Скачал и установил себе на смартфон это приложение — Android System SafetyCore
      Оно не пришло мне на смартфон с очередными обновлениями. Вот теперь сижу и жду когда повысится уровень безопасности моего смартфона. Но приложение молчит и вообще ничего не сообщает о моей системе, или у меня всё так идеально? 😅
       
      Ссылка на приложение в Гугл Плей: https://play.google.com/store/apps/details?id=com.google.android.safetycore&hl=ru&pli=1
       
      Поделитесь информацией, как у вас прошла установка? Что изменилось в работе системы?
×
×
  • Создать...