Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] модифицированный Win32/Kryptik.XOG троянская программа

RSS
 
abrazo
abrazo
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 19.12.2011
Размещено 21.12.2011 12:46:20
Добрый день.
C:\Users\admin\AppData\Roaming\893C.exe - модифицированный Win32/Kryptik.XOG троянская программа - очищен удалением - изолирован. После перезагрузки ESS 5.0.95.0 снова обнаруживает троян по прежнему адресу с новым именем *.exe
Если будем лечить, то как ?

Ответы

Пред. 1 2 3 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:55:27
похоже, подбрасываются все таки файлики в папку,
причина пока непонятна.

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart


перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:56:21
+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:59:27
+
новый образ автозапуска,
можно повторить скрипт с addir, crimg,
но похоже или в автозапуске сидит еще файлик, который сбрасывает экзешники в папку roaming,
или по сети пробивает.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 14:04:07
+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 14:11:21
судя по всему, предыдущий скрипт очистки в uVS не был выполнен. все те же файлики на прежнем месте.
[ Как создать образ автозапуска? ]
 
abrazo
abrazo
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 19.12.2011
Размещено 22.12.2011 14:21:36
чувствую свою вину: проверка системы в малваребайт от 21.12.2011 была осуществлена без предварительного обновления!. Сейчас обновил и были обнаружены backdoor по интересующему нас пути.
Изменено: abrazo - 22.12.2011 14:21:53
 
abrazo
abrazo
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 19.12.2011
Размещено 22.12.2011 14:52:20
Направляю данные. uVS и малваребайт обнаружили угрозы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 16:09:10
1. удалить все найденное в МБАМ
Цитата
Зараженные файлы:
c:\Users\admin\AppData\Roaming\1348.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\CDA5.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\F21C.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\FCD6.exe (Backdoor.IRCBot) -> No action taken.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 16:12:52
abrazo, вопрос:
вы скрипты в uVS выполняете, или только образы им создаете всякий раз?

вот скрипт в uVS из сообщения 11
Код
;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart

здесь прописано удаление файлов, тех что попали в последний лог малваребайт.
Изменено: santy - 22.12.2011 16:21:51
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 16:20:01
+
проверить данный файл на http://virustotal.com

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\CNARLMNT.DLL
Имя файла                   CNARLMNT.DLL
Тек. статус                 в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      89088 байт
Создан                      20.12.2011 в 16:16:54
Изменен                     27.02.2007 в 01:05:42
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            
Версия файла                1.1.0.0
Описание                    Canon MF8100 Series LanguageMonitor.
Производитель               キヤノン株式会社
Комментарий                
                           
Доп. информация             на момент обновления списка
SHA1                        BAC2DD663BA75B5E055A45A96191198A73A3B4B2
MD5                         1C9E573374425F1446F76E9A6F8E8F24
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\Print\Monitors\CARPSLM­ Monitor\Driver
Driver                      CNARLMNT.DLL
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 След.
Читают тему