Перейти к содержанию
Правила раздела

Новый банер

sandkey

От sandkey
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sandkey Профи

sandkey

Опубликовано
Опубликовано

Привезли комп с банером. Есно никаких логов сделать нельзя. Делать надо было срочно. КАВ 11.556 обновлен полностью. С winpe загрузился вышиб сам файл и его загрузку с реестра. После перезагрузки опять банер и на том же месте. Помог откат системы. Проверка mbam дала следующее

mbam_log_2011_04_11__15_23_48_.txt

Жесть конечно и это при рабочем КАВ. Отправил запрос на исследование этого файла. Вирь КАВом с крайними базами сейчас не детектится.

virustotal дает

http://www.virustotal.com/file-scan/report...ee19-1302537542

Комп отдал так что логи сделать не могу. Админы если не в тему написал, переместите или удалите тему.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

делайте логи. видны следы Stuxnet

 

Удалите в MBAM:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263} (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые файлы:
c:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
c:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.

 

 

Жесть конечно и это при рабочем КАВ.

AV по сравнению с IS изначально "ущербнее"...

был бы KIS - вот решение

http://support.kaspersky.ru/faq/?qid=208638548

Ссылка на комментарий
Поделиться на другие сайты
sandkey Профи

sandkey

Опубликовано
  • Автор
Опубликовано (изменено)
делайте логи

Комп приехал с СК. С кучей документов, есно делал под контролем. Запустился и сразу отдал(((.

AV по сравнению с IS изначально "ущербнее"...

Не я ставил КАВ, То что mbam нашел это все один сегодняшний вирь?

 

PS пришел ответ от вирлаба

 

22CC6C32.exe_ - Trojan.Win32.Menti.gena

Детектирование файла будет добавлено в следующее обновление.

Изменено пользователем sandkey
Ссылка на комментарий
Поделиться на другие сайты
sandkey Профи

sandkey

Опубликовано
  • Автор
Опубликовано (изменено)
нет

Roman_Five а у вирлаба подобная технология поиска,лечения и удаления такого есть? Допустим я включил полную проверку. Я так понял что в реестре остались ключи от прошлых вирей и КАВ(КИС) в состоянии это вычислить? или же все равно нужно держать mbam и регулярно им проверять?

Изменено пользователем sandkey
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Я так понял что в реестре остались ключи от прошлых вирей

да.

КАВ(КИС) в состоянии это вычислить

"следы" постфактум - нет. при активном заражении - да.

"последствия" (нарушение парметров безопасности системыи браузера) - да.

нужно держать mbam и регулярно им проверять

не рекомендуется, т.к. они потенциально несовместимы.

MBAM даёт много фолсов при сигнатурном детекте.

а у вирлаба подобная технология поиска,лечения и удаления такого есть?

чего "такого"?

 

если Вы об этом

22CC6C32.exe_ - Trojan.Win32.Menti.gena

то благодаря Вам - уже есть. :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Новые требования к надежности и хранению паролей
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • Остафьево
      Подключение рабочих станций к новому серверу администрирования
      От Остафьево
      Подскажите пожалуйста как подключить компьютеры под управление нового сервера администрирования (Security Center 15) при условии что доступа к старому нет.
    • Stillegoth
      Новый Blackbit, на почту и ТГ не отвечают. Очень прошу помощи!
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • KL FC Bot
      SambaSpy — новый RAT-троян | Блог Касперского
      От KL FC Bot
      Сегодня поговорим о крысах, но не о тех, что с длинными хвостами, а о компьютерных — RAT (remote access trojan). Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
      В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
      Что такое SambaSpy
      SambaSpy — это многофункциональный RAT-троян, обфусцированный с помощью Zelix KlassMaster, что существенно затрудняет его обнаружение и анализ. Тем не менее мы справились с обеими задачами и выяснили, что новый RAT-троян умеет:
      управлять файловой системой и процессами; загружать и выгружать файлы; управлять веб-камерой; делать скриншоты; красть пароли; загружать дополнительные плагины; удаленно управлять рабочим столом; регистрировать нажатия клавиш; управлять буфером обмена.  
      View the full article
    • map_rock
      После удаления майнера, он возобновляется по-новому
      От map_rock
×
×
  • Создать...