Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 601 602 603 604 605 606 607 608 609 610 611 ... 1784 След.
[ Закрыто] Оперативная память = explorer.exe(2324) - модифицированный Win32/Lurk.AA троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 08:02:29
что с проблемой?
Цитата
11.03.2015 21:56:51    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен удалением        
11.03.2015 21:56:36    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен удалением    MICROSOFT-PC\DINO    
11.03.2015 21:53:06    Модуль сканирования по требованию    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен - содержит зараженные файлы        
11.03.2015 21:34:31    Модуль сканирования по требованию    файл    Оперативная память = explorer.exe(3784)    модифицированный Win32/Lurk.AA троянская программа    очищен - содержит зараженные файлы        
решена скриптом?
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 05:52:45
Цитата
C:\Windows\System32\GroupPolicy\csrss.exe
да, этот файл был виден в образе, при проверке на VT оказывается чист, хотя по идее, нечего ему там делать.
давайте новый образ автозапуска посмотрим.
там на этот файл есть еще несколько других с подобным хэшем.

C:\WINDOWS\SYSTEM32\GROUPPOLICY\CSRSS.EXE
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)

возможно, вот эта служба восстанавливает данный csrss.exe

Цитата
C:\WINDOWS\SYSTEM32\SNMPTRPS.EXE
HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
(SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
угу, тоже попал под детект сигнатуры, добавленной Zloydi
a variant of MSIL/Gruf.A
https://www.virustotal.com/ru/file/8a3a80dc3c88f303cf0607688648bc82a32680b93c0768dc­add17f3ecea4dd24/...

сама служба похоже легальная
SNMPTRAP Service
http://support.hp.com/us-en/document/c01862894?openCLC=true?docNotFound=true

есть ли  подмена здесь файла или нет, вопрос конечно.


--------------------
значит, эту пару файлов тоже надо сносить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %Sys32%\GROUPPOLICY\CSRSS.EXE
delall %Sys32%\GROUPPOLICY\CSRSS.EXE
zoo %Sys32%\SNMPTRPS.EXE
delall %Sys32%\SNMPTRPS.EXE
QUIT

перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска для контроля.
Изменено: santy - 12.03.2015 06:58:31
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:51:00
скрипт делает копии удаляемых файлов, затем будет удалять указанный файл вместе со ссылками на него в реестре.
после завершения выполнения скрипта будет запущен архиватор, который добавит копии файлов в архив,
и на этом выполнение скрипта завершится.
QUIT здесь выход из программы без перезагрузки системы.
------
как поведет себя контролер домена в процессе удаления конечно вопрос,
может лучше все таки выполнить скрипт, перед тем как вам можно будет его перезагрузить?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
delall %SystemRoot%\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
delall %SystemRoot%\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
zoo %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
delall %SystemRoot%\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE
zoo %Sys32%\ISCSITRG.EXE
delall %Sys32%\ISCSITRG.EXE
zoo %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{A6748708-52DD-4050-803B-3D5873578CCF}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{206127D1-9068-4892-9516-7D0576A1575D}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{DF87A3CF-FF54-4CA1-9B86-04E12C6FEFD4}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{0C7D60B9-B786-494B-AEA3-DF82F2F0A980}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{ADB0B308-9C1A-4338-902F-F0453878A99E}\SVCHOST.EXE
zoo %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
delall %SystemRoot%\TEMP\{F1370C22-745A-4BB2-8704-66560E7F88A0}\SVCHOST.EXE
czoo
QUIT
после выполнения скрипта, сделайте новый образ автозапуска,
посмотрим, что там останется.
и что произойдет с проблемой.
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:35:39
значит скрытый.
пишем скрипт очистки?
можно перегрузить сервер или без перезагрузки?
------
или сами все зачистите?
Изменено: santy - 11.03.2015 13:36:59
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:08:44
+
просьба к вам:
вот эти все указанные файлы добавить в архив с паролем infected и выслать в почту
Цитата
[email protected], [email protected]
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] HELP!!! модифицированный Win32/Glupteba.O
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 13:02:03
хорошо,
желательно поменять пароли от почты, так как выход в сеть был через левый DNS сервер. мало ли что могло быть. лучще подстраховаться.
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:51:43
+
проверьте, что это такое, с тем же SHA что и указанные файлы в темпе


Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\ISCSITRG.EXE
Имя файла                   ISCSITRG.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
www.virustotal.com          2015-03-11
BitDefender                 Trojan.Generic.11932309
Avast                       Win32:Malware-gen
                           
Удовлетворяет критериям    
TEMP.CRITERY                (SHA1 = 7F3F5363C368B72A7BD9E6BF289433D68BFE2D25)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     538ED42B14000
Linker                      11.0
Размер                      59392 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   04.06.2014 в 08:09:15
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            c.exe
Версия файла                6.57.2758.0
Описание                    Microsoft
Производитель               Microsoft
Комментарий                 Microsoft
                           
Доп. информация             на момент обновления списка
SHA1                        7F3F5363C368B72A7BD9E6BF289433D68BFE2D25
MD5                         45E65FD654EF7CAB54DB1BF3E04481BE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\iscsitrg\ImagePath
ImagePath                   C:\Windows\System32\iscsitrg.exe svc
iscsitrg                    тип запуска: Авто (2)
                           
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:37:04
мы не совсем техподдержка, оказываем помощь по мере сил всем пользователям, за исключением тем, кто работает с ломанными антивирусами.

Цитата
вот эти файлы явно вирусняк
C:\WINDOWS\TEMP\{4B158CA8-34D7-47B5-B73F-0D7BBFB35841}\CONHOST.EXE
Trojan.Generic.11932309
Win32:Malware-gen
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{750AFF81-FF52-4A7A-9877-032239B2CD13}\CONHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{20E9F900-780F-475E-87CE-1FD10956E57F}\SVCHOST.EXE
7F3F5363C368B72A7BD9E6BF289433D68BFE2D25

C:\WINDOWS\TEMP\{E1098FF3-EA40-4146-BDF8-6A696416A725}\CSRSS.EXE

и другие те что в темпе.
---------
и судя по образу - они все одинаковы, один и тоже хэш SHA1
------------


могу написать скрипт очистки, который зачистит эти файлы без перезагрузки системы,
и затем посмотрим, появятся они опять или нет.
Изменено: santy - 11.03.2015 12:43:59
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:26:54
Цитата
Kz kovich написал:
Просканировал на удаленные файлы в поиске secring.gpg, был найден лишь один http://rghost.ru/6n8jsKSBs в пути "\Users\username\AppData\Roaming\gnupg\", но его размер показывает 0 байт.
нулевой ключ, конечно, будет бесполезен для расшифровки.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:23:58
Цитата
Станислав Дёгтев написал:
VAULT.KEY - это не secring.gpg, это зашифрованный экспортированный из него секретный ключ. secring.gpg зашифрован в CONFIRMATION.KEY.
это не одно и тоже, потому что в VAULT.KEY добавлена еще информация о имени компа, об учетной записи, а дате шифрования, о количестве зашифрованных файлов.
кроме этого в VAULT. KEY так же добавлен и secring.gpg из уникальной ключевой пары pub/sec созданной на компе юзера при запуске шифратора.

вот таким может быть содержание VAULT.KEY в расшифрованном виде. т.е. на момент до шифрования паблик ключом вымогателей. (VAULT.KEY=RENAME(vaultkey.vlt.gpg))

Цитата
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1

lQHYBFTHMgEBBADj047UoSz3HIN+oqqj0gMh8es5+QP4eJ1NZcmSgKgQRj5Q­rtZb
i02ptJB7FohhHroBLobpRqhnj/IeDZoXJg/AMOFZVMEyQkHSnyQTqp+i09WP­pk1a
cZy8otK+72VJsGJBMvjNinK8G7NgpNzeeYZbIwDCvqyEPR79RfUUe9ZIsQAR­AQAB
AAP/ZSLURBXspSI2SXAiuiiPlXEUUB74IURB6EroSa3tbZQRM7X5mJfleRGc­Fdgx
4JNIVR/3afUg6yBehfLZ1a7izEMgijD7tX5zxXSFKDt9n2JbzLu4FaMwX1/Y­yQno
J/d5uBbZz2yedkLKxNi+1+mc9mCrt7ar9tMvSR9d9gnp6DUCAOoDE8ma8p8O­PJU+
wzto4dadkrPKJEZKe4UnM/HJhyBW2iYKo2XrZtdPsPM/n77dGF//KwXHqK0g­6tDu
Z9wSWCcCAPk7sRW2w+P9Ka5A9je1cIBhZae8tBp2LV5Bi/hYPlr8s99t/9li­D1zc
NKOQeuvuECjpLgnVWUuaUdwQ4MUuR2cB+wfxAxat5u973T75b5MkVgrcM1ez­UaxA
ZbFyvXF+AgQ5cDUsrEXrR3VICn+Qjrd7W7otisQqGUl8ZvawjYPWWBakHLQY­Q2Vs
bGFyIChDZWxsYXIpIDx2QHUubHQ+iLgEEwECACIFAlTHMgECGy8GCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEKgJFUnaPhmeTAUD/RZXaJX47INoqjE/BE2K­jsJ8
aYmLlEqFRsyJqt6INVN31wjehf1GOQkByocXOLk9gpx+BBljMJ7sTj/yWu9J­ca7Z
t9g0sLxNxEy6j1WXafhgd1+B7Wve3AYRYjwMw9SbLrD6Y1njMnsvpTH6MXfB­K2th
ebXUrvkzH1IkHz7PAsKM
=E5vW
-----END PGP PRIVATE KEY BLOCK-----

BDATE: 27.01.2015
UNAME: *****
CNAME: *****
ULANG: RU
01HSH: 284
02HSH: 26484
03HSH: 29780
04HSH: 18475
05HSH: 28341
FHASH: 8345


здесь как раз и содержится secring.gpg юзера между строками BEGIN и END
Изменено: santy - 04.06.2016 17:28:44
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 601 602 603 604 605 606 607 608 609 610 611 ... 1784 След.