Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Trojan-Downloader.Java.OpenConnection.cf в кеше Java (http://forum.oszone.net/showthread.php?t=196272)

AjaX_too 10-01-2011 18:30 1585377
Trojan-Downloader.Java.OpenConnection.cf в кеше Java
 
Обнаружил при полном прогоне CIS вот этого зверя в виде двух файлов 6f843840-4828d529 (java-приложение открывается как архив и уже в нем a.class определяется как вирус) и 6f843840-4828d529.idx. Так же в кеше оперы было парочку подозрительных (см. скрин), удалил.

Что за зверь, я так понимаю это всего лишь загрузчик, где еще нужно смотреть его хвосты и можно ли как то узнать отработало ли это это приложение или только подгрузилось в кеш?

1. Прогнал CureIT системный диск - чисто
2. AVZ не могу установить драйвер расширенного мониторинга в Win7 x64
3. Лог RSIT прилагается.

Аномалий в работе ПК не замечено, прогонял для профилактики.

okshef 10-01-2011 19:51 1585464
Цитата:
Цитата AjaX_too
AVZ не могу установить драйвер расширенного мониторинга в Win7 x64 »
не устанавливайте, делайте без него

AjaX_too 10-01-2011 20:03 1585478
Цитата:
Цитата okshef
не устанавливайте, делайте без него »
выдает ошибку при попытке обновления баз

okshef 10-01-2011 20:36 1585525
Одно с другим не связано, скачайте архив http://tools.oszone.net/okshef/Soft/Base.zip, замените его содержимым вашу папку Base в папке AVZ

AjaX_too 10-01-2011 20:37 1585526
спс уже нашел, запустил скрипт.

AjaX_too 10-01-2011 21:03 1585550
добавил логи AVZ в стартовое сообщение

AjaX_too 11-01-2011 21:35 1586429
Ребят, гляньте кто нибудь логи пжл.. Можно ли безопасно работать или лучше снести систему и поставить заново в целях безопасности и поменять везде пароли?..

okshef 11-01-2011 22:32 1586476
AjaX_too, я не специалист, поэтому мои слова можно воспринимать как рекомендацию.
• Очистите временные файлы: нажмите Пуск - в строке "Поиск" наберите "Очистка"- запустите Очистку диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите с правами администратора, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
В остальном проблем не вижу.
Проверьте на http://virustotal.com файл C:\Windows\SYSWOW64\drivers\uzmyntg3.sys

AjaX_too 11-01-2011 23:03 1586501
кеши браузеров, temp и т.п. уже очищены.

Цитата:
Цитата okshef
Проверьте на http://virustotal.com файл C:\Windows\SYSWOW64\drivers\uzmyntg3.sys »
у меня нет такого файла в системе, похоже что это драйвер AVZ, но я выполнял скрипт очистки AVZ.

okshef 11-01-2011 23:23 1586516
Хорошо. Пусть спецы свое слово еще скажут. Можете для уверенности сделать проверку MBAM. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно: downloading the update MBAM

AjaX_too 12-01-2011 00:26 1586548
вроде все чисто
кстати MBAM не реагирует на тот экземпляр вируса который был найден в кеше Java

iskander-k 12-01-2011 09:05 1586677
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix

AjaX_too 12-01-2011 15:16 1586944
Цитата:
Цитата iskander-k
прикрепите к сообщению. »
прикрепил к стартовому сообщению.

вот только как бы теперь вернуть атрибуты скрытых и системных файлов после прогона утилитой?..

iskander-k 12-01-2011 22:47 1587306
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:
KillAll::
RegNull::
[HKEY_USERS\S-1-5-21-3193302468-149483232-1762598372-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C902E94F-51F3-1C7A-E8A8-26779E2E2B52}*]
File::

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.


Прикрепите к своему следующему сообщению , а не к первому.

AjaX_too 13-01-2011 23:51 1588173
сделал, прикрепил

iskander-k 14-01-2011 09:02 1588336
TeamViewer вы устанавливали ?
Что с проблемой ?

AjaX_too 14-01-2011 09:23 1588345
Цитата:
Цитата iskander-k
TeamViewer вы устанавливали ? »
да, я ставил.

Цитата:
Цитата iskander-k
Что с проблемой ? »
Цитата:
Цитата AjaX_too
Аномалий в работе ПК не замечено, прогонял для профилактики. »
меня очень интересуют вопросы
Цитата:
Цитата AjaX_too
Можно ли безопасно работать или лучше снести систему и поставить заново в целях безопасности и поменять везде пароли? »
Цитата:
Цитата AjaX_too
можно ли как то узнать отработало ли это это приложение или только подгрузилось в кеш? »

что скажете? вы увидели по логам заражение или вирус просто осел в кеше?

SolarSpark 14-01-2011 09:43 1588361
Цитата:
Цитата AjaX_too
Можно ли безопасно работать или лучше снести систему и поставить заново в целях безопасности и поменять везде пароли? » »
Можно работать. Пароли менять можете-никогда не помешает,хотя это вредоносное ПО пароли не ворует
Цитата:
Цитата AjaX_too
вы увидели по логам заражение »
по логам был заражен ключик реестра,он был удален. Беспокоиться вам не о чем.

Следите за обновлениями Java.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

AjaX_too 14-01-2011 10:07 1588378
Цитата:
Цитата maniy77
хотя это вредоносное ПО пароли не ворует »
а что оно делает? можно где-то почитать? гуглил, но подробной информации не нашел.

Цитата:
Цитата maniy77
Следите за обновлениями Java. »
регулярно

Цитата:
Цитата maniy77
не работать за компьютером с правами администратора »
UAC включен постоянно.

Цитата:
Цитата maniy77
не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) »
у меня установлены все основные браузеры, т.к. занимаюсь веб-разработкой.

Цитата:
Цитата maniy77
регулярно устанавливать обновления windows и обновлять антивирусные базы. »
регулярно

SolarSpark 14-01-2011 13:23 1588589
Цитата:
Цитата AjaX_too
а что оно делает »
вольный перевод:
Цитата:
Основная цель загрузчиков, это установить вредоносный код на компьютере пользователя. Однако, они могут позволить другие вредоносные использует. Например, они могут быть использованы для постоянно загружать новые версии вредоносных программ, рекламного ПО, или "порнографического". Они также используются часто используются, чтобы эксплуатировать уязвимости Internet Explorer.
Downloaders, как правило, написаны на скриптовых языках, таких как VBS или JavaScript.
смените пароли на почту, попадаются случаи спама с больного компьютера при данном заражении

AjaX_too 14-01-2011 13:26 1588591
ребята, всем спасибо за помощь. тему можно закрывать.


Время: 06:32.

Время: 06:32.
© OSzone.net 2001-