CatalystX 29 Опубликовано 21 июня, 2011 Share Опубликовано 21 июня, 2011 (изменено) Поймал эксплоит-пак. При переходе по ссылке сразу на секунду открылся Adobe Reader(Reader был обновлен до последней версии), в winamp'e было написано название сайта securitylist.cc.ee(примерно такого)(винамп тоже обновлен), и открылась устаревшая Java версии 1.06(я уверен ее запустил эксплоит из пака)(хотя я ее обновлял на прошлой неделе). В разборе эксплоит-пака(не этого), Вячеслав Закоржевский в журнале Хакер писал что три эксплоита скачивали фейковый антивирус. Мне стало интересно что скачали эти эксплоиты, ведь я тоже поймал эксплоит-пак. Вот логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 21 июня, 2011 пользователем CatalystX Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 июня, 2011 Share Опубликовано 22 июня, 2011 CatalystX, Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 22 июня, 2011 Автор Share Опубликовано 22 июня, 2011 Вот логи. Диск С очистил. info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 июня, 2011 Share Опубликовано 22 июня, 2011 (изменено) проверьте на virustotal.com C:\WINDOWS\system32\GEARAspi.dll C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 2 ссылки на результаты проверки приложите Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('KProcessHacker2', 4); SetServiceStart('cg08', 4); SetServiceStart('49428661', 4); QuarantineFile('C:\WINDOWS\system32\hidec',''); QuarantineFile('D:\Hacker\x86\kprocesshacker.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Мои видеозаписи\cg08',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\49428661.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\49428661.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Мои видеозаписи\cg08'); DeleteFile('D:\Hacker\x86\kprocesshacker.sys'); DeleteService('KProcessHacker2'); DeleteService('cg08'); DeleteService('49428661'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Изменено 22 июня, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 22 июня, 2011 Автор Share Опубликовано 22 июня, 2011 (изменено) Раскрывающийся текст: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. cg08, kprocesshacker.sys Файлы в процессе обработки. С уважением, Лаборатория Касперского "123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Virustotal1 Virustotal2 Вот логи mbam_log_2011_06_22__14_10_01_.txt hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 22 июня, 2011 пользователем CatalystX Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 июня, 2011 Share Опубликовано 23 июня, 2011 Проверьте на virustotal.com d:\counter-strike source\vhcss\VHCSS.exe (Trojan.Agent.Gen) -> No action taken. d:\Хакер\новая папка (2)\Win\Kas.exe (Trojan.Ransom) -> No action taken. d:\Хакер\фонящая хрень\virus generators\virus generators\evil glue v1.0\Catalyst.exe (Trojan.Downloader) -> No action taken. d:\Хакер\фонящая хрень\virus generators\virus generators\FSG v2.0\fsg.exe (Trojan.Downloader) -> No action taken. d:\Download\saddams crypter.exe (Trojan.Agent) -> No action taken. 5 ссылок приложите. Удалите в MBAM: d:\xaker\0000003C.exe (Trojan.Zbot) -> No action taken. d:\xaker\0000003E.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000CE.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000F2.exe (Trojan.Zbot) -> No action taken. d:\xaker\0000011A.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001CE.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001F6.exe (Trojan.Zbot) -> No action taken. d:\xaker\0000021A.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000DC.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000FC.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000FE.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000100.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000124.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001F2.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001FA.exe (Trojan.Zbot) -> No action taken. d:\xaker\0000021E.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000C8.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000CA.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000CC.exe (Trojan.Zbot) -> No action taken. d:\xaker\000000F0.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000102.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000104.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000106.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000118.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001C8.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001CA.exe (Trojan.Zbot) -> No action taken. d:\xaker\000001CC.exe (Trojan.Zbot) -> No action taken. d:\xaker\00000222.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000000C6.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000000D8.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000000F0.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000000FC.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00000102.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00000114.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\0000011A.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000001C8.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000001CE.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000001F2.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\0000003C.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000000CC.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00000120.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\000001F8.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\0000021C.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00000222.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00004B48.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00004B4E.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean\00004B54.exe (Trojan.Zbot) -> No action taken. d:\Хакер\Clean2\zeus 2.0.8.9\builder\zeus 2.0.8.9\cadt.dll (Trojan.Constructor) -> No action taken. d:\Хакер\Clean2\zeus 2.0.8.9\zeus 2.0.8.9\builder\cod2hacks.exe (Trojan.Ransom) -> No action taken. d:\Хакер\Clean2\zeus 2.0.8.9\zeus 2.0.8.9\builder\Codhacks.exe (Trojan.Ransom) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.