http://forum.esetnod32.ru Новое в теме Что это может быть? Что делать и кто виноват? форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 18 Apr 2026 11:39:23 +0300 Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Присланные Файлы

Будет ловиться с версией баз 5022
7D89.tmp - Win32/Oficla.FY
mtct.kio - Win32/Oficla.FY

Будет добавлено в следующее обновление.
netprotocol.dll - Win32/Zbot.XX

Спасибо!
12.04.2010 18:54:48, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message914/ http://forum.esetnod32.ru/messages/forum6/topic186/message914/ Mon, 12 Apr 2010 18:54:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Радмин все же покоцался? Досадно. Я старался его не угробить, он мне нужен. Ладно, переставлю, что ж поделать.
12.04.2010 18:25:03, morra.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message911/ http://forum.esetnod32.ru/messages/forum6/topic186/message911/ Mon, 12 Apr 2010 18:25:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
morra пишет:
Я несколько удивлен. Если на машине были черви, (mtct.kio и прочие), то почему они не выявились ни монитором ни сканером?
=============

2 файла от радмина, остальные скажу только после анализа.

100% выловить не возможно, файл mtct.kio скорее всего являеться загрузчиком вирусов, потому нод в TEMP папке постоянно вирусы и находил, версия нода 2,7 уже давно не актуальна, я бы рекомендовал сменить ее на 4.2
12.04.2010 17:31:38, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message907/ http://forum.esetnod32.ru/messages/forum6/topic186/message907/ Mon, 12 Apr 2010 17:31:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Запакуйте всю папку и пришлите на virusesnod32@gmail.com для анализа.

=============
Сделал.



====quote====
также сообщите что с проблемой.
=============
Пока не знаю. Сутки-другие подождать бы надо.

Я несколько удивлен. Если на машине были черви, (mtct.kio и прочие), то почему они не выявились ни монитором ни сканером?
12.04.2010 17:26:51, morra.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message906/ http://forum.esetnod32.ru/messages/forum6/topic186/message906/ Mon, 12 Apr 2010 17:26:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удалите все что предлагает Malwarebytes' Anti-Malware, перезагрузите ПК,

По этому адресу будет карантин
c:\Documents and Settings\*USER*\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\
Запакуйте всю папку и пришлите на virusesnod32@gmail.com для анализа.

также сообщите что с проблемой.
12.04.2010 17:01:30, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message905/ http://forum.esetnod32.ru/messages/forum6/topic186/message905/ Mon, 12 Apr 2010 17:01:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Адреса сами вносили в хост файл? Если нет, почистить, если да то проверить еще раз нужные IP!!!!
=============

Вносил, но не "вконтакты". Это уже явно червие поработало. Эти IP я уже проверил - фельшивые. А те, что я вписывал сам, - правильные.


====quote====
Удалить файл C:\Program Files\plugin.exe
=============

Нет там такого файла. Каталог C:\Program Files\ никаких файлов вообще не содержит, только подкаталоги.


====quote====
утилиту Malwarebytes' Anti-Malware Скачать, установить, обновить, выполнить быстрое сканирование, лог после сканирвания приложить.
=============

Сделал. Ох, ни фига себе!
mbam-log-2010-04-12 (16-55-02).txt
12.04.2010 16:56:21, morra.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message904/ http://forum.esetnod32.ru/messages/forum6/topic186/message904/ Mon, 12 Apr 2010 16:56:21 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
В программе HijackThis поставить галочки напротив:

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe mtct.kio skvskh
O4 - HKLM\. .\Run: [plugin] "C:\Program Files\plugin.exe"

и нажать Fix checked

Адреса сами вносили в хост файл? Если нет, почистить, если да то проверить еще раз нужные IP!!!!

Удалить файл C:\Program Files\plugin.exe

скачать утилиту Malwarebytes' Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Скачать, установить, обновить, выполнить быстрое сканирование, лог после сканирвания приложить.
12.04.2010 16:20:50, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message902/ http://forum.esetnod32.ru/messages/forum6/topic186/message902/ Mon, 12 Apr 2010 16:20:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал.
hijackthis.log
SysInspector-MIKE-100412-1550.zip
12.04.2010 16:07:41, morra.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message901/ http://forum.esetnod32.ru/messages/forum6/topic186/message901/ Mon, 12 Apr 2010 16:07:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Логи делать по правилам раздела!
http://forum.esetnod32.ru/forum9/topic54/
и этот
http://forum.esetnod32.ru/forum9/topic53/

и прикрепить к посту.
12.04.2010 15:30:57, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message900/ http://forum.esetnod32.ru/messages/forum6/topic186/message900/ Mon, 12 Apr 2010 15:30:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Что это может быть? Что делать и кто виноват? в форуме Обнаружение вредоносного кода и ложные срабатывания.
Обстановка следующая:
Дней примерно 10 назад я поставил на домашнюю машинку nod32. Версия 2.7. Ключа нет, но "триальный" период еще не кончился.

До этого стоял drweb (с подлинным ключом), но его последняя версия слишком уж стала тормозить работу компа.

Win-XP, SP3. Комп подключен к инету через внешний роутер dlink, внешний IP - public, через роутер смапированы несколько tcp-портов: для аськи, для radmin-а и т.п.

Резидентный монитор AMON регулярно вывешивает предупреждения о вирусах. Происходит это (я уж не знаю совпадение это или нет) только при запущенном браузере (opera 9.27). Один раз такое было ровно в момент запуска  браузера (опера при этом открывает вся свои ранее открытие окна с сайтами).
Но чаще это происходит в период, когда на компе никакой активности нет! Утром приду - на дисплее предупреждение от AMONа. Ничего подозрительного при этом не открыто. Сегоня "в ночное" оставались api.joomla.org, ucoz.ru, php.net, разные yandex-ы, dbug.ospinto.com, rutracker. По "детско-юношеским" сайтам не гуляю, староват-с. Утром - опять червяк.

Проверка (сканер по требованию) выполнена не раз, в том числе с самими параноидальными настройками, ничего не дала. Дрвеб, который тут не один год работал, подобной паранормальной активности никогда не регистрировал - если уж он что-то ловил, то источник всегда был понятен.

Логи показать сложно - из окошка показа логов в "буфер обмена" они копируются в какой-то неопознаваемой кодировке, а где в настройках программы включить английский язык интерфейса я так и не нашел.

NOD32 CC -> Логи -> Лог вирусов

Bpeìÿ Moäóëü Oáúeêò Èìÿ Bèpóc Äeécòâèe Ïoëüçoâaòeëü Èíôopìaöèÿ
^^^^^ вся кирилица в таком вот виде
дальше я ее вычищу

12-04-2010 13:29:41 AMON C:\TEMP\742.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe.
12-04-2010 13:29:31 AMON C:\TEMP\741.tmp Win32/Kryptik.DCR MIKE\admin C:\WINDOWS\system32\svchost.exe. 10-04-2010 02:32:52 AMON C:\WINDOWS\system32\sfcfiles.dll.bak Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
10-04-2010 02:31:45 AMON C:\WINDOWS\system32\sfcfiles.dll Win32/Agent.QYP MIKE\admin E:\Programs\Opera\Opera.exe.
08-04-2010 16:27:27 AMON C:\WINDOWS\System32\rihd.VVpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
07-04-2010 18:24:26 AMON C:\WINDOWS\System32\rihd.Vpno Win32/Oficla.FS \Device\HarddiskVolume2\WINDOWS\System32\rihd.VVpno C:\WINDOWS\system32\wbem\wmiprvse.exe.
06-04-2010 21:22:59 AMON C:\WINDOWS\system32\drivers\sfc.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\winlogon.exe.
06-04-2010 18:48:20 C:\TEMP\16C8.tmp Win32/Oficla.FS
06-04-2010 18:46:49 C:\WINDOWS\system32\rihd.pno Win32/Oficla.FS
06-04-2010 10:20:21 AMON C:\TEMP\18EB.sys Win32/Rootkit.Agent.NSY NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe.

И что мне с этим все делать, с таким красивым?
Что это - ложные срабатывания?
Если это действительно зараза, то как она ко мне проникает? Где эта дырка, как ее законопатить?
12.04.2010 15:10:12, morra.]]> http://forum.esetnod32.ru/messages/forum6/topic186/message898/ http://forum.esetnod32.ru/messages/forum6/topic186/message898/ Mon, 12 Apr 2010 15:10:12 +0400 Обнаружение вредоносного кода и ложные срабатывания