Размещено 11.08.2014 15:29:35
В логи ERAC с 4 компьютеров падают соообщения о вирусе, прилагаю отчет от одного
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто ] модифицированный Win32/Corkow.AE троянская программа
1
Размещено 11.08.2014 15:41:45
да, есть здесь активный троян. можно в отдельные темы по каждому компу с подозрением на Corkow добавить образ автозапуска, чтобы не было путаницы.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
далее,
сделайте дополнительно быструю проверку системы в малваребайт
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.83 BETA 13 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LEVDOKIMOVA\APPLICATION DATA\DAOEU\PLUUENG1.S delall %SystemDrive%\DOCUMENTS AND SETTINGS\LEVDOKIMOVA\APPLICATION DATA\DAOEU\PLUUENG1.S ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart |
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Размещено 11.08.2014 16:42:33
скрипт запустил, архив выслал, MBAM прошелся, похоже чисто.
если ВДРУГ будет полезно, то в логах нашего проксика именно с этих компьютеров заметил необычную активность (даю кусочек):
если ВДРУГ будет полезно, то в логах нашего проксика именно с этих компьютеров заметил необычную активность (даю кусочек):
| Код |
|---|
1407757212.775 0 192.168.1.6 TCP_DENIED/407 3957 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407757481.820 0 192.168.1.100 TCP_DENIED/407 3959 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407757536.686 0 192.168.1.16 TCP_DENIED/407 3958 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407757697.382 1 192.168.1.74 TCP_DENIED/407 3958 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407757872.909 1 192.168.1.6 TCP_DENIED/407 3957 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407758141.872 1 192.168.1.100 TCP_DENIED/407 3959 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407758355.251 0 192.168.1.74 TCP_DENIED/407 3958 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407758533.044 0 192.168.1.6 TCP_DENIED/407 3957 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407758801.935 0 192.168.1.100 TCP_DENIED/407 3959 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407759193.180 0 192.168.1.6 TCP_DENIED/407 3957 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407759461.991 3 192.168.1.100 TCP_DENIED/407 3959 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407759671.033 0 192.168.1.74 TCP_DENIED/407 3958 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407759853.307 0 192.168.1.6 TCP_DENIED/407 3957 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html 1407760122.046 0 192.168.1.100 TCP_DENIED/407 3959 POST http://uorenbuffets.com/36190/c1s295.php - NONE/- text/html |
Размещено 11.08.2014 17:25:14
да, вирлабу думаю это интересно будет, адрес надо добавить в черный список, возможно к серверу управления идет обращение.
Corkow - технологичный троян.
выполните наши рекомендации по зараженным машинам.
Corkow - технологичный троян.
выполните наши рекомендации по зараженным машинам.
1
Читают тему