Среда, 13.11.2024, 09:11 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: xXxSh@dowxXx  
Неведомая вирусня
link993Дата: Четверг, 16.02.2012, 21:02 | Сообщение # 1
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Господа, в очередной раз обращаюсь к вам за помощью. Сегодня какой-то гад поселился у меня в компе. Сайты антивирусной тематики не работают. Касперский, стоящий на моем компе, не рычит. В hosts изменений нет, но рядом появился файл imhosts с таким содержанием:



Я думаю, что вирусня что-то с этим файлом мудрит. Сайты антивирусов открываются только через разные анонимайзеры (ито не всегда). Что делать господа? Могу приложить вам этот файл в помощь. P.s. антивирусы не обновляются:-(

Gravitas: Хватит посещать порносайты :D


Сообщение отредактировал dolphin - Понедельник, 20.02.2012, 09:12
 
Волк-1024Дата: Пятница, 17.02.2012, 13:26 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
link993, imhosts нормальный он такой и должен быть. Только без иероглифов.

Pascal, C\C++, Assembler, Python
 
xXxSh@dowxXxДата: Пятница, 17.02.2012, 15:25 | Сообщение # 3
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Несколько лет назад была небольшая эпидемия какого то зловреда который блокировал доступ к антивирусным сайтам и хз каким макаром не давал антивирусам обновляться,когда то давно я про это читал,но те времена давно канули в лету, да и я уже точно не помню что это был за зловред, попробуй покапаться, поискать информацию по нему, лечилка для него уже давно есть,странно почему у тебя антивирус его не обнаружил...
 
dolphinДата: Суббота, 18.02.2012, 11:40 | Сообщение # 4
Администратор
Сообщений: 906
Статус: Offline
В imhosts всё закоментировано у тебя. Не одной живой строчки. Проверь что по этому адресу в реестре

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs

ещё в 64-битной системе %systemroot%\SysWOW64\drivers\etc\hosts

Расположение файла в Windows прописано в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath (REG_EXPAND_SZ - расширяемый строковый параметр) - значение по-умолчанию: %SystemRoot%\System32\drivers\etc (в 64-битной системе может быть такое: %SystemRoot%\SysWOW64\drivers\etc)


Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
link993Дата: Суббота, 18.02.2012, 16:35 | Сообщение # 5
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Прикладываю подозрительные файлы (судя по картинке). Антивирус их не палит. Файлы в архиве. Не запускайте. Вирусня совсем новая! Если сейчас у меня не выйдет ее деактивировать, то я думаю порно баннер появится после перезагрузки. Еще иногда зависает мышка. Умоляю проверьте их на вирустотале т.к. я туда доступа не имею. Скажите что в таком случае предпринять.
 
link993Дата: Суббота, 18.02.2012, 16:40 | Сообщение # 6
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Блин, что-то не выкладывается. Выложил на другой хост. Ссылка: http://upwap.ru/2032042 Пароль: virus

Логи avz:



Я думаю это еще раз доказывает мои предположения:

Code
   Анализ kernel32.dll, таблица экспорта найдена в секции .text    
  Функция kernel32.dll:CopyFileA (64) перехвачена, метод APICodeHijack.JmpTo[00060FF6]    
  Функция kernel32.dll:CopyFileW (67) перехвачена, метод APICodeHijack.JmpTo[00061096]    
  Функция kernel32.dll:CreateFileA (80) перехвачена, метод APICodeHijack.JmpTo[000611B6]    
  Функция kernel32.dll:CreateFileW (83) перехвачена, метод APICodeHijack.JmpTo[00061286]    
  Функция kernel32.dll:MoveFileA (609) перехвачена, метод APICodeHijack.JmpTo[00062506]    
  Функция kernel32.dll:MoveFileW (612) перехвачена, метод APICodeHijack.JmpTo[00062566]    
    Анализ ntdll.dll, таблица экспорта найдена в секции .text    
  Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[000652F6]    
  Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[00066386]    
  Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[00066636]    
  Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[000653C6]    
  Функция ntdll.dll:ZwEnumerateValueKey (971) перехвачена, метод APICodeHijack.JmpTo[00066386]    
  Функция ntdll.dll:ZwQueryDirectoryFile (1044) перехвачена, метод APICodeHijack.JmpTo[00066636]    
  Функция ntdll.dll:ZwResumeThread (1107) перехвачена, метод APICodeHijack.JmpTo[000653C6]    
    Анализ user32.dll, таблица экспорта найдена в секции .text    
    Анализ advapi32.dll, таблица экспорта найдена в секции .text    
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text    
  Функция ws2_32.dll:GetAddrInfoW (24) перехвачена, метод APICodeHijack.JmpTo[00061D06]    
  Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[000C7246]    
    Анализ wininet.dll, таблица экспорта найдена в секции .text    
  Функция wininet.dll:HttpSendRequestA (208) перехвачена, метод APICodeHijack.JmpTo[00062096]    
  Функция wininet.dll:HttpSendRequestW (211) перехвачена, метод APICodeHijack.JmpTo[00062156]    
  Функция wininet.dll:InternetWriteFile (308) перехвачена, метод APICodeHijack.JmpTo[00062396]    
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text    
    Анализ urlmon.dll, таблица экспорта найдена в секции .text    
  Функция urlmon.dll:URLDownloadToFileA (216) перехвачена, метод APICodeHijack.JmpTo[00069076]    
  Функция urlmon.dll:URLDownloadToFileW (217) перехвачена, метод APICodeHijack.JmpTo[000691E6]    
    Анализ netapi32.dll, таблица экспорта найдена в секции .text    
  1.2 Поиск перехватчиков API, работающих в KernelMode    
    Драйвер успешно загружен    
    SDT найдена (RVA=083220)    
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000    
      SDT = 8055A220    
      KiST = 804E26B8 (284)    
  Проверено функций: 284, перехвачено: 0, восстановлено: 0    
  1.3 Проверка IDT и SYSENTER    
    Анализ для процессора 1    
    Проверка IDT и SYSENTER завершена    
    >>>> Обнаружена маскировка процесса 2976 c:\documents and settings\Администратор\application data\5.exe   


Сообщение отредактировал link993 - Суббота, 18.02.2012, 16:54
 
xXxSh@dowxXxДата: Суббота, 18.02.2012, 18:58 | Сообщение # 7
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
а по ковыряться с c:\documents and settings\Администратор\application data\5.exe не пробывал?

если опять появляется ищи исходный процесс, службу, драйвер, либо возможные варианты автозапуска: проверь запланированные задачи, реестр, автозагрузку...,хз не может быть что бы это могло быть что то сверх новое и необъяснимое, по всей видимости используются стандартные схемы запуска...
 
link993Дата: Суббота, 18.02.2012, 20:42 | Сообщение # 8
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Пробовал я. Скажу честно, что стандартного тут ничего нет. Программу эту опытный человек писал. Это что то похожее на неубиваемую программу C@T,a Я такую фигню намудрил: удалил те файлы которые мог (которые ни какой процесс не блокировал) и на место их поставил другие .exe с именами вредоносов. Вроде прокатило. Только блин я еще не все части вредоноса заблочил (мышка иногда заедает и по реестру видно). По каперскому уже имя программе дали (вчера). Жду обновлений для avz, касперский в аут улетел. Процесс основный кроется каким то способом необъяснимым.

Сообщение отредактировал link993 - Суббота, 18.02.2012, 20:47
 
xXxSh@dowxXxДата: Суббота, 18.02.2012, 20:56 | Сообщение # 9
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
больше всего меня удивило то что твой Касперский пропустил запуск и распаковку этого вредоноса, ведь новый Касперский с последними базами, присекает любую распаковку неизвестной ему программы, так же выдается сообщение безопасности при любых изменениях реестра и даже на обращение к проводнику какой либо программы, возможно просто вы отключали антивирус на какое то время либо как вариант зловред был прикреплен к какому либо софту и вы на все сообщения выдаваемые антивирусом на действия этой программы ответили разрешить или пропустить как то так вобщем...,во всяком случае когда я тестировал Каспера он орал обсалютно на все виды действий даже на абсолютно безобидные действия...

могу вам посоветовать установить PC Tools Internet Security последней версии,в последней версии к сожалению пока вроде бы еще не выпустили Русский язык интерфейса,так что придется на английском,но софтина хорошая,советую каждому попробувать ее в деле,находит многие даже хорошо скрытые заразы...

на официальном сайте разработчиков можно скачать бесплатно 30 дневную версию

ВАЖНОЕ ЗАМЕЧАНИЕ!!!
эта программа жрет не мало ресурсов системы,а так же не желательно запускать одновременно с другими антивирусами, так как в ней встроен свой фаерволл и она запускает несколько своих служб для обнаружения инфекций..,вобщем прежде чем устанавливать - выключите все антивирусы иначе они будут просто друг друга блокировать


Сообщение отредактировал xXxSh@dowxXx - Суббота, 18.02.2012, 20:59
 
dolphinДата: Воскресенье, 19.02.2012, 13:30 | Сообщение # 10
Администратор
Сообщений: 906
Статус: Offline
У меня детектируется как криптованый троянец зеус. плюс маленькие файлы - ява и хтмл скрипты.

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
xXxSh@dowxXxДата: Воскресенье, 19.02.2012, 14:12 | Сообщение # 11
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (dolphin)
У меня детектируется как криптованый троянец зеус. плюс маленькие файлы - ява и хтмл скрипты.


ну вот,я же говорил врят ли это что то новое и сверх навороченное...,все вполне обычно...
 
link993Дата: Воскресенье, 19.02.2012, 15:02 | Сообщение # 12
Участник
Зарегистрирован: 13.02.2011
Группа: Пользователи
Сообщений: 93
Статус: Offline
Позавчера добавили в базы. Тему можно закрывать. Спасибо всем!
 
jloolДата: Понедельник, 23.04.2012, 02:23 | Сообщение # 13
Новичок
Зарегистрирован: 23.04.2012
Группа: Пользователи
Сообщений: 1
Статус: Offline
http://en.wikipedia.org/wiki/LMHOSTS идиты в жопу , а я спать ... Хватит пользоваться полёной виндой от индима ... У парней проблемы с кодировкой были при создание сего продукта , а тут аж в базы он добавит , смешно товарищ , смешно , переходи на *nix и будет всем счастье , винда от одного пирата избавиться , а твой мозг от мании преследования ....
 
Don_DiegoДата: Воскресенье, 14.05.2017, 21:21 | Сообщение # 14
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
Забанить Волк-1024 spiteful
 
JeffreyNekДата: Воскресенье, 25.06.2017, 18:56 | Сообщение # 15
Группа: Удаленные



Aqueduct — Шаблоны WordPress. Скачать бесплатно премиум шаблон Вордпресс Click here>>>
 
JessyGearfДата: Пятница, 30.06.2017, 18:12 | Сообщение # 16
Группа: Удаленные



Приветик!

Я зарабатывю здесь...
 
  • Страница 1 из 1
  • 1
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz