Поймал эксплоит-пак

[CatalystX 29]

Поймал эксплоит-пак. При переходе по ссылке сразу на секунду открылся Adobe Reader(Reader был обновлен до последней версии), в winamp'e было написано название сайта securitylist.cc.ee(примерно такого)(винамп тоже обновлен), и открылась устаревшая Java версии 1.06(я уверен ее запустил эксплоит из пака)(хотя я ее обновлял на прошлой неделе).

В разборе эксплоит-пака(не этого), Вячеслав Закоржевский в журнале Хакер писал что три эксплоита скачивали фейковый антивирус. Мне стало интересно что скачали эти эксплоиты, ведь я тоже поймал эксплоит-пак.

Вот логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 21 июня, 2011 пользователем CatalystX

[Roman_Five 598]

CatalystX,

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[CatalystX 29]

Вот логи. Диск С очистил.

info.txt

log.txt

[Roman_Five 598]

проверьте на virustotal.com

C:\WINDOWS\system32\GEARAspi.dll
C:\WINDOWS\system32\drivers\GEARAspiWDM.sys

2 ссылки на результаты проверки приложите

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('KProcessHacker2', 4);
SetServiceStart('cg08', 4);
SetServiceStart('49428661', 4);
QuarantineFile('C:\WINDOWS\system32\hidec','');
QuarantineFile('D:\Hacker\x86\kprocesshacker.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Мои видеозаписи\cg08','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\49428661.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\49428661.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Мои видеозаписи\cg08');
DeleteFile('D:\Hacker\x86\kprocesshacker.sys');
DeleteService('KProcessHacker2');
DeleteService('cg08');
DeleteService('49428661');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Изменено 22 июня, 2011 пользователем Roman_Five

[CatalystX 29]

Раскрывающийся текст:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

cg08,

kprocesshacker.sys

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

 

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Virustotal1

Virustotal2

 

Вот логи

mbam_log_2011_06_22__14_10_01_.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 22 июня, 2011 пользователем CatalystX

[Roman_Five 598]

Проверьте на virustotal.com

d:\counter-strike source\vhcss\VHCSS.exe (Trojan.Agent.Gen) -> No action taken.
d:\Хакер\новая папка (2)\Win\Kas.exe (Trojan.Ransom) -> No action taken.
d:\Хакер\фонящая хрень\virus generators\virus generators\evil glue v1.0\Catalyst.exe (Trojan.Downloader) -> No action taken.
d:\Хакер\фонящая хрень\virus generators\virus generators\FSG v2.0\fsg.exe (Trojan.Downloader) -> No action taken.
d:\Download\saddams crypter.exe (Trojan.Agent) -> No action taken.

 

5 ссылок приложите.

 

Удалите в MBAM:

d:\xaker\0000003C.exe (Trojan.Zbot) -> No action taken.
d:\xaker\0000003E.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000CE.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000F2.exe (Trojan.Zbot) -> No action taken.
d:\xaker\0000011A.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001CE.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001F6.exe (Trojan.Zbot) -> No action taken.
d:\xaker\0000021A.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000DC.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000FC.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000FE.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000100.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000124.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001F2.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001FA.exe (Trojan.Zbot) -> No action taken.
d:\xaker\0000021E.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000C8.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000CA.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000CC.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000000F0.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000102.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000104.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000106.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000118.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001C8.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001CA.exe (Trojan.Zbot) -> No action taken.
d:\xaker\000001CC.exe (Trojan.Zbot) -> No action taken.
d:\xaker\00000222.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000000C6.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000000D8.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000000F0.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000000FC.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00000102.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00000114.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\0000011A.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000001C8.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000001CE.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000001F2.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\0000003C.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000000CC.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00000120.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\000001F8.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\0000021C.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00000222.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00004B48.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00004B4E.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean\00004B54.exe (Trojan.Zbot) -> No action taken.
d:\Хакер\Clean2\zeus 2.0.8.9\builder\zeus 2.0.8.9\cadt.dll (Trojan.Constructor) -> No action taken.
d:\Хакер\Clean2\zeus 2.0.8.9\zeus 2.0.8.9\builder\cod2hacks.exe (Trojan.Ransom) -> No action taken.
d:\Хакер\Clean2\zeus 2.0.8.9\zeus 2.0.8.9\builder\Codhacks.exe (Trojan.Ransom) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.