santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Помогите: lsass.exe - модифицированный Win32/SpyVoltar.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 17:30:32

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE EXEC cmd /c"ipconfig /flushdns" CEXEC cmd /c"ping esk.sbrf.ru" CEXEC cmd /c"tracert esk.sbrf.ru" crimg

без перезагрузки, добавьте новый образ, который будет создан автоматически
------------

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = iexplore.exe(2212) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 17:25:16

выполните сканирование в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите: lsass.exe - модифицированный Win32/SpyVoltar.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 17:17:21

напишите адрес сбера, куда вы не можете сейчас попасть

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 17:04:14

Цитата
Yung пишет: Теперь о планете Земля. Уважаемые знатоки, подскажите пож., удалятся ли файлы карантина антивируса 4 версии при удалении антивируса через ESET Uninstaller ? Спасибо.

Yung, это легко проверить опытным путем.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 17:03:14

похоже, данные отслеживает какие то в истории браузера.

Цитата
0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!cookies! 0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!local settings!history!history.ie5! 0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!local settings!temporary internet files!content.ie5!

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 16:55:05

Цитата
zloyDi пишет: Возможно вот это дропает UPDATE_PACKET.EXE - Win32/Dulkit.C trojan

ZloyDi, сделай проверку здесь, если сэмпл не убил еще
http://camas.comodo.com/
посмотрим анализ. можно и для левого эксплорера тоже трейс сделать.

Изменено: santy - 03.11.2012 16:55:45

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 16:48:45

Цитата
zloyDi пишет: Santy зацени лог UVS с диска и с системы http://forum.esetnod32.ru/forum27/topic7491/ ЕXPLORER.EXE с диска галимый, с системы уже нормальный.

смотрел тему. похоже в трояне буква "P" не латинского происхождения. подменен символ. т.е. в образе два файла explorer:
этот троянский, и системный чистый.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите: lsass.exe - модифицированный Win32/SpyVoltar.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 16:42:25

сделайте новый образ автозапуска

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 16:21:38

добавил правило:
(ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1)
-------------

Цитата
Полное имя D:\WINDOWS\ЕXPLORER.EXE Имя файла ЕXPLORER.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске www.virustotal.com 2012-11-01 [2012-11-01 17:50:56 UTC ( 1 day, 18 hours ago )] BitDefender Gen:Variant.Symmi.3544 AntiVir TR/Rogue.KD.399878 Удовлетворяет критериям TR/ROGUE.KD.399878 (ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 100890 байт Создан 28.10.2012 в 09:56:55 Изменен 28.10.2012 в 09:56:55 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя HASA.exe Версия файла 2323.4444.1111 Продукт Производитель PEAR Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Имя файла Типичное для вирусов или содержит Non-ASCII символы Доп. информация на момент обновления списка SHA1 765DB936A91D69B69E2BF64B0848CFE02BBF6896 MD5 844EC64D9B37FC477D3BA095EC1E33E6 Ссылки на объект Ссылка HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\еxplorer еxplorer C:\Windows\еxplorer.exe

Цитата

Полное имя D:\WINDOWS\ЕXPLORER.EXE
Имя файла ЕXPLORER.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-11-01 [2012-11-01 17:50:56 UTC ( 1 day, 18 hours ago )]
BitDefender Gen:Variant.Symmi.3544
AntiVir TR/Rogue.KD.399878

Удовлетворяет критериям
TR/ROGUE.KD.399878 (ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 100890 байт
Создан 28.10.2012 в 09:56:55
Изменен 28.10.2012 в 09:56:55
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя HASA.exe
Версия файла 2323.4444.1111
Продукт

Производитель PEAR

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла Типичное для вирусов или содержит Non-ASCII символы

Доп. информация на момент обновления списка
SHA1 765DB936A91D69B69E2BF64B0848CFE02BBF6896
MD5 844EC64D9B37FC477D3BA095EC1E33E6

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\еxplorer
еxplorer C:\Windows\еxplorer.exe

второй случай
http://forum.esetnod32.ru/forum27/topic7491/

Изменено: santy - 03.11.2012 16:22:46

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Модифицированный Win32 троян с сайта Е-правительства РК?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.11.2012 08:51:02

https://www.virustotal.com/file/fb71f65341288ed9d2383d44478640712b895d8e1f760e19f6f2741179857742/analysis/

[ Как создать образ автозапуска? ]

Перейти