Avast WEBforum

Non-English Zone => Русский => Topic started by: DmitriyB on February 28, 2012, 04:14:33 PM

Title: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:14:33 PM
У меня каждые 5 секунд вылезает окошко: ВРЕДОНОСНЫЙ URL. Вирус: URL:MAL. Процесс C:\WINDOWS\system32\svchost.exe
log HijackThis: http://rghost.ru/36758166
Пароль от лога: Virus            Что мне делать?
Title: Re: Вирус Url:Mal
Post by: George Yves on February 28, 2012, 04:21:16 PM
Сервер не отдаёт Ваш лог - пишет, что пароль неверный. Исправьте - пароль должен быть весь в нижнем регистре.
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:26:40 PM
Исправил. Пароль тот же.
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 04:27:18 PM
Ставили софт для соц.сети в Контакте? Лично ставили?


O20 - AppInit_DLLs:   C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:31:35 PM
Ставили софт для соц.сети в Контакте? Лично ставили?


O20 - AppInit_DLLs:   C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll

Ставил. Кстати в автозагрузке появились файлы. Вот скрин:  http://rghost.ru/36758556.view
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:37:25 PM
Кстати вылезает это окошко сразу по 10 раз. Там разные сайты
Вот один из них: http://rghost.ru/36758731.view
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 04:39:35 PM
Ставили софт для соц.сети в Контакте? Лично ставили?


O20 - AppInit_DLLs:   C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll

Ставил. Кстати в автозагрузке появились файлы. Вот скрин:  http://rghost.ru/36758556.view


Как давно? Скрин можно когда детект?

http://support.kaspersky.ru/faq/?qid=208639606 - скачайте...что она скажет?
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 04:41:06 PM
Кстати вылезает это окошко сразу по 10 раз. Там разные сайты
Вот один из них: http://rghost.ru/36758731.view


Хм...
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:45:49 PM
Ставили софт для соц.сети в Контакте? Лично ставили?


O20 - AppInit_DLLs:   C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll

Ставил. Кстати в автозагрузке появились файлы. Вот скрин:  http://rghost.ru/36758556.view


Как давно? Скрин можно когда детект?

http://support.kaspersky.ru/faq/?qid=208639606 - скачайте...что на скажет?

Ставил где-то в январе/феврале. Вот скрин от программы.  http://rghost.ru/36758942.view
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:47:51 PM
Заметил штучку одну. Сайт один, а разные файлы... Сайт: nef90woiheflen.org
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 04:51:51 PM
Ставили софт для соц.сети в Контакте? Лично ставили?


O20 - AppInit_DLLs:   C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll

Ставил. Кстати в автозагрузке появились файлы. Вот скрин:  http://rghost.ru/36758556.view


Как давно? Скрин можно когда детект?

http://support.kaspersky.ru/faq/?qid=208639606 - скачайте...что на скажет?

Ставил где-то в январе/феврале. Вот скрин от программы.  http://rghost.ru/36758942.view


Host чистый? Хотя в логе было бы видно...в логе hj не вижу ни чего плохого, кроме мусора и vksaver3.dll, не пойму что редиректит.
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:53:37 PM
Host исправил DR.Web cureIt! Он был испорчен. Я выложил скрин на автозагрузку. Там какие-то вирусные файлы по названию...
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 04:56:30 PM
Host исправил DR.Web cureIt! Он был испорчен. Я выложил скрин на автозагрузку. Там какие-то вирусные файлы по названию...

Вы сканировали DR.Web cureIt! он что то нашел? кроме как поправил хост?


Не могли бы вы раздвинуть границы..чтобы увидеть более полный путь?
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 04:57:28 PM
Нельзя расширить почему-то!
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 05:06:05 PM
Нельзя расширить почему-то!

Плохо...в логе не видно левого, может это когда то было.

Доктор нашел что нить? вы когда сканированил?

Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 05:09:37 PM
Сегодня сканировал. У меня появились странные папки, но скрин дать не могу, тк. Открываю диск C и пусто. Вот скрин http://rghost.ru/36759523.view
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 05:11:57 PM
Помогите, я уже устал, мой мозг кипит >_<
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 05:24:52 PM
Помогите, я уже устал, мой мозг кипит >_<


Пока что то нет идей....


Вы не ответили на вопрос...ДрВеб нашел что нибудь?


http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe ...скачайте и запустите

И попробуйте сбросить статические маршруты.

Пуск - cmd ----->>> route -f

Перезагрузитесь.
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 05:26:03 PM
Ничего не нашёл...
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 05:48:37 PM
Ничего не нашёл...


Утилитку заюзали? на диске С...что нибудь стало видно?


Маршруты сбросили?

Сообщения так и всплывают?
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 05:51:09 PM
Ничего не нашёл...


Утилитку заюзали? на диске С...что нибудь стало видно?


Маршруты сбросили?

Сообщения так и всплывают?
Ещё не перезагружал. Щас дело важное. Через 5 мин перезагружу
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 05:53:27 PM
Скачал Auslogics BoostSpeed нашло 10000 ошибок, программа исправила, и всё заработало!
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 06:01:30 PM
http://rghost.ru/36760879.view
Как заблокировать данный файл? Вот он всю проблему сделал... Программа помогла, но не с этим.  :'(
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 06:10:19 PM
http://rghost.ru/36760879.view
Как заблокировать данный файл? Вот он всю проблему сделал... Программа помогла, но не с этим.  :'(


Хм...это и есть суслик..плин почему же его в логе не видно.

Сделайте повторно лог HJ, до этого файла можете добраться в ручную? папки на диске С стали видными?
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 06:15:20 PM
Да всё видно. Путь к файлуц: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bbHLh24DqnA.exe
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 06:17:48 PM
Да всё видно. Путь к файлуц: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bbHLh24DqnA.exe


Запакуйте его и выложите с паролем куда не будь..я вышлю в вирлаб, и после удалите его.



Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 06:20:51 PM
Вот это файл есть еще?


Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 28, 2012, 06:22:10 PM
Да всё видно. Путь к файлуц: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bbHLh24DqnA.exe


Запакуйте его и выложите с паролем куда не будь..я вышлю в вирлаб, и после удалите его.

Вот ссылка на файл : http://rghost.ru/36761378
Пароль virus
Что мне делать с этим окошком? avast! завершил анализ! Скрин выше был.
У меня ещё wptb что-то такое. Блокирует экран. Но я его отрубил
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 06:38:56 PM
Да всё видно. Путь к файлуц: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bbHLh24DqnA.exe


Запакуйте его и выложите с паролем куда не будь..я вышлю в вирлаб, и после удалите его.

Вот ссылка на файл : http://rghost.ru/36761378
Пароль virus
Что мне делать с этим окошком? avast! завершил анализ! Скрин выше был.
У меня ещё wptb что-то такое. Блокирует экран. Но я его отрубил

Может удаленный доступ? с помощью новой фишки Аваста?
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 06:49:20 PM
https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330450655/

Trojan.Carberp - он как правило подкачивает всякую дрянь типа Winlock и тд.


Путь к этому wptb покажите...
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 28, 2012, 06:55:51 PM
Да всё видно. Путь к файлуц: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\bbHLh24DqnA.exe


Запакуйте его и выложите с паролем куда не будь..я вышлю в вирлаб, и после удалите его.

Вот ссылка на файл : http://rghost.ru/36761378
Пароль virus
Что мне делать с этим окошком? avast! завершил анализ! Скрин выше был.
У меня ещё wptb что-то такое. Блокирует экран. Но я его отрубил


bbHLh24DqnA.exe удаляйте
Title: Re: Вирус Url:Mal
Post by: Severnyj on February 29, 2012, 09:57:53 AM
https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330450655/

Trojan.Carberp - он как правило подкачивает всякую дрянь типа Winlock и тд.

Trojan.Carberp - он как правило ворует пароли и имеет ботнет функционал))
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 29, 2012, 11:09:57 AM
Проблема появилась снова. Сайт другой, но файла того уже нет! wpbt0 - Путь: Файла нет.
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 29, 2012, 11:11:00 AM
Щас CureIt поставлю
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 29, 2012, 01:44:23 PM
Поставил CureIt ничего не нашёл. Что делать? Подскажите.
Title: Re: Вирус Url:Mal
Post by: Ligalizovan on February 29, 2012, 01:46:29 PM
Помимо Cureit есть много сканеров: AVP, Malwarebytes' anti-malware, AVZ.
Title: Re: Вирус Url:Mal
Post by: DmitriyB on February 29, 2012, 01:53:49 PM
Malwarebytes' anti-malware сейчас сканирует. найдено уже 6 объектов. Возможно будет ещё больше  :'(
Title: Re: Вирус Url:Mal
Post by: Ligalizovan on February 29, 2012, 02:00:53 PM
На форуме dr.web пишут, что помогает вроде бы Live CD.
И вот еще http://forum.avast.com/index.php?topic=87154.0
Title: Re: Вирус Url:Mal
Post by: Severnyj on February 29, 2012, 02:51:58 PM
Malwarebytes' anti-malware сейчас сканирует. найдено уже 6 объектов. Возможно будет ещё больше  :'(

А так же:

(http://s011.radikal.ru/i316/1101/cb/2c6110405830.jpg)


Code: [Select]
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
beep.sys
explorer.exe
svchost.exe
userinit.exe
symmpi.sys
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
ntfs.sys
tcpip.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
srsvc.dll
adp3132.sys
mv61xx.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
Title: Re: Вирус Url:Mal
Post by: Severnyj on February 29, 2012, 02:53:17 PM
+ к предыдущему:

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 29, 2012, 03:00:25 PM
https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330450655/

Trojan.Carberp - он как правило подкачивает всякую дрянь типа Winlock и тд.

Trojan.Carberp - он как правило ворует пароли и имеет ботнет функционал))

Ну не факт....

Добавлен в базу как Win32:Crypt-LQQ [Trj]

https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330523874/
Title: Re: Вирус Url:Mal
Post by: Ligalizovan on February 29, 2012, 03:14:04 PM
Что интересно, у G Data и F-secure название заразы одинаковое, кто у кого ворует?) А касперский я так понял детектит эвристикой.
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 29, 2012, 03:25:40 PM
Что интересно, у G Data и F-secure название заразы одинаковое, кто у кого ворует?) А касперский я так понял детектит эвристикой.


У G Data и F-secure одно из ядер BitDefender.
Title: Re: Вирус Url:Mal
Post by: Ligalizovan on February 29, 2012, 03:30:40 PM
Что интересно, у G Data и F-secure название заразы одинаковое, кто у кого ворует?) А касперский я так понял детектит эвристикой.


У G Data и F-secure одно из ядер BitDefender.
Мне казалось у F-Secure движок касперского. Да,прочел и вправду отказались от движка касперского и теперь используют битдефендер.
Title: Re: Вирус Url:Mal
Post by: Severnyj on February 29, 2012, 09:16:14 PM
Ну не факт....

Добавлен в базу как Win32:Crypt-LQQ [Trj]

https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330523874/

http://habrahabr.ru/company/eset/blog/137309/
http://www.upweek.ru/bitdefender-carberp.html
Title: Re: Вирус Url:Mal
Post by: Dim@rik on February 29, 2012, 10:16:40 PM
Ну не факт....

Добавлен в базу как Win32:Crypt-LQQ [Trj]

https://www.virustotal.com/file/5e111f1509c9e534e9234678b55ac499d294f59526d439a3e1fd5bb034e3e8d8/analysis/1330523874/

http://habrahabr.ru/company/eset/blog/137309/
http://www.upweek.ru/bitdefender-carberp.html

Ок...ок  ;)

Пусть с Локером я загнул ;) но функционал Downloader в нем присутствует.

Code: [Select]
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.


Microsoft   TrojanDownloader:Win32/Carberp.A   

NOD32   Win32/TrojanDownloader.Carberp.AF
Title: Re: Вирус Url:Mal
Post by: Severnyj on March 01, 2012, 06:31:12 AM
Ок...ок  ;)

Пусть с Локером я загнул ;) но функционал Downloader в нем присутствует.

Code: [Select]
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.

Microsoft   TrojanDownloader:Win32/Carberp.A   

NOD32   Win32/TrojanDownloader.Carberp.AF

Следует заметить последние версии трояна используют буткит составляющую для сокрытия себя в системе (инжект идет напрямую в svchost.exe или explorer.exe - по косвенным признакам можно определить что Аваст постоянно выдает предупреждения url.mal), поэтому для лечения нужно попробовать:
Title: Re: Вирус Url:Mal
Post by: Dim@rik on March 01, 2012, 03:08:58 PM
Ок...ок  ;)

Пусть с Локером я загнул ;) но функционал Downloader в нем присутствует.

Code: [Select]
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.

Microsoft   TrojanDownloader:Win32/Carberp.A   

NOD32   Win32/TrojanDownloader.Carberp.AF

Следует заметить последние версии трояна используют буткит составляющую для сокрытия себя в системе (инжект идет напрямую в svchost.exe или explorer.exe - по косвенным признакам можно определить что Аваст постоянно выдает предупреждения url.mal), поэтому для лечения нужно попробовать:
  • Сканирование на руткиты в Avast
  • Сканирование утилитой aswMBR
  • Сканирование утилитой TDSSKiller

Да...этот семпл скрытый, в логе HJ его не было видно, мало того он скрывает все файлы на диске C:/ , я просил пользователя просканить TDSSKiller, но утилита ни чего не нашла. В общем интересный семпл.