Показать полную графическую версию : Trojan-Downloader.Java.OpenConnection.cf в кеше Java
AjaX_too
10-01-2011, 18:30
Обнаружил при полном прогоне CIS вот этого (http://www.virustotal.com/file-scan/report.html?id=a42ca0cd619456b98454aa5e34cee23df408178362cc7f9ce5eab50ef0d78d21-1294665297) зверя в виде двух файлов 6f843840-4828d529 (java-приложение открывается как архив и уже в нем a.class определяется как вирус) и 6f843840-4828d529.idx. Так же в кеше оперы было парочку подозрительных (см. скрин), удалил.
Что за зверь, я так понимаю это всего лишь загрузчик, где еще нужно смотреть его хвосты и можно ли как то узнать отработало ли это это приложение или только подгрузилось в кеш?
1. Прогнал CureIT системный диск - чисто
2. AVZ не могу установить драйвер расширенного мониторинга в Win7 x64
3. Лог RSIT прилагается.
Аномалий в работе ПК не замечено, прогонял для профилактики.
AVZ не могу установить драйвер расширенного мониторинга в Win7 x64 »
не устанавливайте, делайте без него
AjaX_too
10-01-2011, 20:03
не устанавливайте, делайте без него »
выдает ошибку при попытке обновления баз
Одно с другим не связано, скачайте архив http://tools.oszone.net/okshef/Soft/Base.zip, замените его содержимым вашу папку Base в папке AVZ
AjaX_too
10-01-2011, 20:37
спс уже нашел, запустил скрипт.
AjaX_too
10-01-2011, 21:03
добавил логи AVZ в стартовое сообщение
AjaX_too
11-01-2011, 21:35
Ребят, гляньте кто нибудь логи пжл.. Можно ли безопасно работать или лучше снести систему и поставить заново в целях безопасности и поменять везде пароли?..
AjaX_too, я не специалист, поэтому мои слова можно воспринимать как рекомендацию.
• Очистите временные файлы: нажмите Пуск - в строке "Поиск" наберите "Очистка"- запустите Очистку диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
- Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите с правами администратора, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
В остальном проблем не вижу.
Проверьте на http://virustotal.com файл C:\Windows\SYSWOW64\drivers\uzmyntg3.sys
AjaX_too
11-01-2011, 23:03
кеши браузеров, temp и т.п. уже очищены.
Проверьте на http://virustotal.com файл C:\Windows\SYSWOW64\drivers\uzmyntg3.sys »
у меня нет такого файла в системе, похоже что это драйвер AVZ, но я выполнял скрипт очистки AVZ.
Хорошо. Пусть спецы свое слово еще скажут. Можете для уверенности сделать проверку MBAM. Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно: downloading the update MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe)
AjaX_too
12-01-2011, 00:26
вроде все чисто
кстати MBAM не реагирует на тот экземпляр вируса который был найден в кеше Java
iskander-k
12-01-2011, 09:05
•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
AjaX_too
12-01-2011, 15:16
прикрепите к сообщению. »
прикрепил к стартовому сообщению.
вот только как бы теперь вернуть атрибуты скрытых и системных файлов после прогона утилитой?..
iskander-k
12-01-2011, 22:47
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).
KillAll::
RegNull::
[HKEY_USERS\S-1-5-21-3193302468-149483232-1762598372-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C902E94F-51F3-1C7A-E8A8-26779E2E2B52}*]
File::
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прикрепите к своему следующему сообщению , а не к первому.
AjaX_too
13-01-2011, 23:51
сделал, прикрепил
iskander-k
14-01-2011, 09:02
TeamViewer вы устанавливали ?
Что с проблемой ?
AjaX_too
14-01-2011, 09:23
TeamViewer вы устанавливали ? »
да, я ставил.
Что с проблемой ? »
Аномалий в работе ПК не замечено, прогонял для профилактики. »
меня очень интересуют вопросы
Можно ли безопасно работать или лучше снести систему и поставить заново в целях безопасности и поменять везде пароли? »
можно ли как то узнать отработало ли это это приложение или только подгрузилось в кеш? »
что скажете? вы увидели по логам заражение или вирус просто осел в кеше?
SolarSpark
14-01-2011, 09:43
Можно ли безопасно работать или лучше снести систему и поставить заново в целях безопасности и поменять везде пароли? » »
Можно работать. Пароли менять можете-никогда не помешает,хотя это вредоносное ПО пароли не ворует
вы увидели по логам заражение »
по логам был заражен ключик реестра,он был удален. Беспокоиться вам не о чем.
Следите за обновлениями Java.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg
Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
AjaX_too
14-01-2011, 10:07
хотя это вредоносное ПО пароли не ворует »
а что оно делает? можно где-то почитать? гуглил, но подробной информации не нашел.
Следите за обновлениями Java. »
регулярно
не работать за компьютером с правами администратора »
UAC включен постоянно.
не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) »
у меня установлены все основные браузеры, т.к. занимаюсь веб-разработкой.
регулярно устанавливать обновления windows и обновлять антивирусные базы. »
регулярно
SolarSpark
14-01-2011, 13:23
а что оно делает »
вольный перевод:
Основная цель загрузчиков, это установить вредоносный код на компьютере пользователя. Однако, они могут позволить другие вредоносные использует. Например, они могут быть использованы для постоянно загружать новые версии вредоносных программ, рекламного ПО, или "порнографического". Они также используются часто используются, чтобы эксплуатировать уязвимости Internet Explorer.
Downloaders, как правило, написаны на скриптовых языках, таких как VBS или JavaScript.
смените пароли на почту, попадаются случаи спама с больного компьютера при данном заражении
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC