Троян под mail.ru и vk

@Jerv · Регистрация: 21.02.2011

Author24 — интернет-сервис помощи студентам

Всем доброго времени суток!
На одном из домашних ноутбуков, пытаясь проверить почту на mail.ru, сразу почувствовал неладное когда увидел: 1.jpeg. Далее после отклонения требования и неудачной попытке ввода пароля, была выдана следующая страница: 2.jpeg. Со следующим текстом (чтобы народу гуглилось, похоже - массовое явление):
"Ваш аккаунт был временно блокирован, по причине распространения спама. Для дальнейшего пользования сайтом, мы должны убедиться, что вы не "робот". Для этого вам необходимо отправить смс-сообщение с текстом: pti 667 на номер 7498...".
Решил обновить НОД (чего, к сожалению, не делал уже пару месяцев), но теперь файл-обновление не распознаётся, т.е. не изымается из архива под предлогом ошибки. Да, кстати, ни НОД (в старой комплектации), ни Ad-Aware после полной проверки ничего в упор не видят. Проверил файл hosts - он в порядке, как положено только "127.0.0.1 localhost". Установлена ОС - Win7 Ult. В связи с ситуацией у меня несколько вопросов:
1) Как лечить?
2) Откуда оно взялось?
3) Какие лучше меры профилактики?
4) Что из литературы по теме посоветуете, где о природе и механике этих замечательных явлений можно узнать?

@~~Katharsis~~ · 30.09.2011, 00:22

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Jerv · 01.10.2011, 20:13 **[ТС]**

После полной проверки компьютера CureIT в безопасном режиме был выявлен Trojan. Carberp 10 с последующим удалением всех инфицированных файлов. Загрузка стала происходить заметно быстрее, но первоначальная невозможность проверки почты на мейл.ру и обновления антивируса остались. Подготовил логи. Надеюсь, они чем-то помогут. Всего доброго!

@thyrex · 01.10.2011, 23:04

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('mkdrv', 4);
 QuarantineFile('C:\Windows\nopor.sys','');
 DeleteFile('C:\Windows\nopor.sys');
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Обновите базы AVZ

Сделайте новые логи

@Jerv · 02.10.2011, 19:52 **[ТС]**

[KLAN-168026655]
"Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

nopor.sys - Rootkit.Win32.Qhost.fm

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского"

Новые логи приложены.

Большое спасибо вам, о, вирусоборцы форума! Всё теперь, как и прежде. Кстати, немного в оффтоп. Можете в самых общих чертах рассказать как Вы пишете скрипты, исходя из предоставленных поциентом логов и почему 4 указанным в FAQ программам удаётся распознать и при содействии хелперов излечить то, чего не могут, казалось бы, мастодонты-антивирусы?

@thyrex · 02.10.2011, 23:34

В логах плохого не увидел.

Если говорить о нашей "работе" в общих чертах, это будет совсем непонятно. Проще Вам самому пройти курс обучения и узнать все тонкости нашей "профессии"

@Jerv · 03.10.2011, 08:00 **[ТС]**

Ещё раз спасибо. Что касается всего остального, нашёл отдельную тему.

@Jerv 7 / 7 / 0 Регистрация: 21.02.2011 Сообщений: 28
		1
	Троян под mail.ru и vk 30.09.2011, 00:01. Показов 2744. Ответов 6 Метки нет (Все метки) Всем доброго времени суток! На одном из домашних ноутбуков, пытаясь проверить почту на mail.ru, сразу почувствовал неладное когда увидел: 1.jpeg. Далее после отклонения требования и неудачной попытке ввода пароля, была выдана следующая страница: 2.jpeg. Со следующим текстом (чтобы народу гуглилось, похоже - массовое явление): "Ваш аккаунт был временно блокирован, по причине распространения спама. Для дальнейшего пользования сайтом, мы должны убедиться, что вы не "робот". Для этого вам необходимо отправить смс-сообщение с текстом: pti 667 на номер 7498...". Решил обновить НОД (чего, к сожалению, не делал уже пару месяцев), но теперь файл-обновление не распознаётся, т.е. не изымается из архива под предлогом ошибки. Да, кстати, ни НОД (в старой комплектации), ни Ad-Aware после полной проверки ничего в упор не видят. Проверил файл hosts - он в порядке, как положено только "127.0.0.1 localhost". Установлена ОС - Win7 Ult. В связи с ситуацией у меня несколько вопросов: 1) Как лечить? 2) Откуда оно взялось? 3) Какие лучше меры профилактики? 4) Что из литературы по теме посоветуете, где о природе и механике этих замечательных явлений можно узнать? Миниатюры 0

@~~Katharsis~~ Заблокирован
	30.09.2011, 00:22	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@thyrex 13268 / 7392 / 1564 Регистрация: 06.09.2009 Сообщений: 26,955
	01.10.2011, 23:04	4
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('mkdrv', 4); QuarantineFile('C:\Windows\nopor.sys',''); DeleteFile('C:\Windows\nopor.sys'); DeleteService('mkdrv'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Обновите базы AVZ Сделайте новые логи 1

@thyrex 13268 / 7392 / 1564 Регистрация: 06.09.2009 Сообщений: 26,955
	02.10.2011, 23:34	6
	В логах плохого не увидел. Если говорить о нашей "работе" в общих чертах, это будет совсем непонятно. Проще Вам самому пройти курс обучения и узнать все тонкости нашей "профессии" 2

@Jerv 7 / 7 / 0 Регистрация: 21.02.2011 Сообщений: 28
	03.10.2011, 08:00 [ТС]	7
	Ещё раз спасибо. Что касается всего остального, нашёл отдельную тему. 0