Подцепил вирь?

[pava]

Спасибо отписавшимся!
Кто желает поковырать, пм скиньте, только хотелось бы знать, что наковыряете.

 

[demien]

mobik
у тебя какой то вирь, криптованный Injector.xx(x) нод обзывает файлы которые инжектятся в себя или в др. процесс.
у тебя конечно же возник вопрос, как так снова заразился после переустановки винды? после переустановки винды ты заразился очень просто... файл на диске ц у тебя это и есть тело (или может лоадер?) этого виря, который запускается по знаменитой технологии autorun.inf решение... свнова перевесить винду, но теперь не сразу бежать по дискам клацать, а в свойствах папки отобразить скрытые файла, и скрытые системные (скрин ниже)
, удалить в ручную все странные ехе и autorun.inf со всем дисков и повесить тот же нод или киску... не забудь кляцнуть плюсик в репу если помог

Флудер детектед?

При объёме информации, предоставленном ТС, более конкретных ответов ожидать и не стоит. Откуда мы знаем, что у него за система, железо, руки? Его проблема может появиться из-за миллиона причин, не обязательно из-за вируса.

там совершенно очевидно, что нод ругает совершенно разные файлы конкретно Injector.NM, т.е. троян заразил (внедрился) в эти процессы , а нод пытается вылечить, но безуспешно т.к. lsass.exe это системный процесс, нод не может ничего с ним поделать а вирь выполняясь с этого процесса спокойной восстанавливает работоспособность, получается это loop процесс война кто быстрее аверь или трой с привилегиями систем из процесса lsass
распространение очевидно это autorun.inf... но я более чем уверен, что подцепили его ифреймом ненаю... интуиция у меня такая..

pava солидарен с DarkSol. пойсон (Poison Ivy) нет смысла ковырять.. максимум что можно найти это айпи на который настроен сервер... хотя в последнее время все работают через NOIP, так что думаю без толку

 

[G100M]

http://usde.ru/warez/55614-interaktivnyjj-...vka-k-egje.html

Льется какой то эксп, пробивает последнюю лису.

 

[GOONER]

hxxp://usde.ru/warez/55614-interaktivnyjj-...vka-k-egje.html Льется какой то эксп, пробивает последнюю лису.

Немного посмотрел.....Вообщем увидел скрипт...

hxxp://usde.ru/counter.js

................
document.write('<script language="JavaScript" charset="windows-1251" src="hxxp://medianaft.ru/js/bodyclick.php?id=696"></script>');
................

Далее тут (hxxp://medianaft.ru/js/bodyclick.php?id=696) скрипт

if (navigator.cookieEnabled)
  {var pu2185 = null;var pop_cookie_name = "2b4158b5a316918e0e2607ba99c90c11";var pop_timeout = 720;function pop_cookie_enabled(){var is_enabled = false;if (!window.opera && !navigator.cookieEnabled)return is_enabled;if (typeof document.cookie == 'string')if (document.cookie.length == 0){document.cookie = "test";is_enabled = document.cookie == 'test';document.cookie = '';}
else{is_enabled = true;}return is_enabled;}function pgetCookie(name){var cookie = " " + document.cookie;var search = " " + name + "=";var setStr = null;var offset = 0;var end = 0;if (cookie.length > 0){offset = cookie.indexOf(search);if (offset != -1){offset += search.length;end = cookie.indexOf(";", offset);if (end == -1){end = cookie.length;}
setStr = unescape(cookie.substring(offset, end));}}return(setStr);
}function psetCookie (name, value){document.cookie = name + "=" + escape(value) + "; expires=Friday,31-Dec-50 23:59:59 GMT; path=/;";
}function sp2185(){var pop_wnd = "http://medianaft.ru/click/body.php?id=696&hash=753eb22ced4ff9530480c44a76abc9c7";var fea_wnd = "scrollbars=1,resizable=1,toolbar=1,location=1,menubar=1,status=1,directories=0";var need_open = true;if (document.onclick_copy != null)document.onclick_copy();if (document.body.onbeforeunload_copy != null)document.body.onbeforeunload_copy();if (pu2185 != null){if (!pu2185.closed)need_open = false;}if (need_open){if (pop_cookie_enabled()){val = pgetCookie(pop_cookie_name);if (val != null){now = new Date();val2 = new Date(val);
utc1 = Date.UTC(now.getFullYear(), now.getMonth(), now.getDate(), now.getHours(), now.getMinutes(), now.getSeconds());
utc2 = Date.UTC(val2.getFullYear(), val2.getMonth(), val2.getDate(), val2.getHours(), val2.getMinutes(), val2.getSeconds());
if ((utc1 - utc2)/1000 < pop_timeout*60)
{need_open = false;}}}}if (need_open){under = window.open(pop_wnd, "", fea_wnd);under.blur();window.focus();if (pop_cookie_enabled()){now = new Date();psetCookie(pop_cookie_name, now);}}
}function pits21(){var ver = parseFloat(navigator.appVersion);var ver2 = (navigator.userAgent.indexOf("Windows 95")>=0 || navigator.userAgent.indexOf("Windows 98")>=0 || navigator.userAgent.indexOf("Windows NT")>=0 )&&(navigator.userAgent.indexOf('Opera') == -1)&&(navigator.appName != 'Netscape') &&(navigator.userAgent.indexOf('MSIE') > -1) &&(navigator.userAgent.indexOf('SV1') > -1) &&(ver >= 4);
if (ver2){if (document.links){for (var i=0; i<document.links.length; i++){if (document.links[i].target != "_blank"){document.links[i].onclick_copy = document.links[i].onclick;document.links[i].onclick = sp2185;}}}}document.onclick_copy = document.onclick;document.onmouseup = sp2185;}pits21();}

Смотрим на кусок кода:

hxxp://medianaft.ru/click/body.php?id=696&hash=753eb22ced4ff9530480c44a76abc9c7

Потом нас кидают сюда(на ТДС):

hххp://traffprofit.com/tds/in.cgi?default

traffprofit.com-партнерка........
Вообщем после тдс кидает на разные порно сайтеги...
Я пустил IE через песочницу кинуло на hххp://poro4ka.com/ ну и загрузило ехе!
Далее покопаю по-позже .........

 

[lisa99]

отсюда httx://alegremente.com/index.php
прошла на комп загрузка
в кеше Оперы на диске отловила фрагменты pdf
Пытался загрузится Acrobat Reader, Опера вывалилась (10.51) из процессов
Видимо, это и есть хваленый pdf-exploit

Просматриваю все сегодняшние новые файлы через поиск.
АВ ничего не видит

Почистила все на диске. Где можно еще поискать следы загрузчика? или его самого

 

[GOONER]

2 lisa99

Спойлер: 50

Там Eleonore Exploits pack version 1.3.2
hххp://alegremente.com/stat.php
А в качестве полезной нагрузки этот exe
Отчет Virustotal 3/41

 

[Ar3s]

возьми утилиту autoruns и посмотри что у тебя в загрузке. Скорее-всего это чищенный pdf сплоит. И всего.

 

[lisa99]

спасибо большое.
с меня плюсек

 

[AHTOLLlKA]

autoruns не поможет если там чтонить руткитоподобное..
надо глянуть через руткит анхукер или гмер ну или avz чтолибо хукаецо или нет..
и снять их.. дальше можно прогнать авптул или куре ит... обычно таких действий вполне хватает

 

[lisa99]

avz

ничего в процессах не нашел

диск им не сканировала, тут разницы с кисом не вижу..

куре ит

сделаю в safe mode, спс, уже забыла

 

[AHTOLLlKA]

avz не нашел.. раз у тебя кис стоит он как минимум должен был его хуки показать о_О

 

[lisa99]

avz не нашел.. раз у тебя кис стоит он как минимум должен был его хуки показать о_О

сенькс..
но не было там в хуках вообще ничего подозрительного, не то что уж связанное с указанным файлом

тогда встречный вопрос - RKU детектирует все скрытые процессы ?

 

[karabas-barabas]

выруби все сетевые процессы и поставь сниффер на часок, если увидишь обращение к левому url значит что-то есть ...а так не нужно высасывать проблему из пальца

 

[G100M]

Подхватил кукю то дуру, она постяонно чистит куки. Это единственное чем ее заметно. Однако ни в процессах, ни в gmer'e, ни в hijack'e ничего характерного не видно.
Я право не знаю что делать.Антивирусы естевестенно молчат(касперский)

 

[karabas-barabas]

блин очень похоже на моего экспериментального бота
хотя сомневаюсь , в таком совпадении

 

[G100M]

>.<
держи своих сучек на коротком поводке

 

[karabas-barabas]

держи своих сучек на коротком поводке

нет, меньше нужно по порносайтам лазить

 

[G100M]

я там не бываю =\
Меня эта дрянь просто вымораживет!
Пускай сидит, делает что хочет, забивает мой канал трахает файлы, пытается чтото спиздить(у меня все равно брать нечего), но только пускай бл#ть куки не трет постоянно!
Что еще за хрень такая невидимая.

 

[G100M]

Разумеется я сижу под админом

 

[karabas-barabas]

хм интересно, почему у тебя так мало перехватов - обычно каспер больше функций перехватывает... то ли трой поснимал перехваты kis... скачай последнюю версию RKU и покажи результаты сюда