Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Eolan

Какую-то инфекцию сейчас я проглотил.

Рекомендованные сообщения

Значит так:

 

Заражение:

Через FireFox, баннер, точнее через полновесный ява-аплет (с запуском ява-машины)...

 

Симптомы: удален firefox(стерт .exe файл), куча левых маршрутов в таблице роутинга, невозможность отправить файл через браузер в интернет(тупо рестарт ИЕ), не запускается explorer.exe (видимо все-таки dr.web не хочет давать вирю запуститься нормально) т.е. пустой экран с фоновым рисунком,восстановление исправленного ключа userinit в реестре, вероятно еще что-то есть - пишу то что пронаблюдал. Сайты с антивирусами - открываются спокойно(после сброса таблицы).

 

Лечение: прогон полного сканирования Dr. Web LiveCD(с апдейтами), Kaspersky Rescue Disk(с апдейтами) - ничего не дали. Точнее, оба что-то нашли, убили, но машина осталась под контролем вируса(симптомы не исчезли). Лог от hijackthis - прилагаю. (это уже второй, по сравнению с самым первым исправлены hosts, и убиты левые DNS-сервера). Нашел методу сбросить маршруты не перегружая комп: route /f, затем выкл/вкл сетевой адаптер в системе(соответственно рестарт нужных служб)... Так же, при незагрузке explorer.exe, запускаю его принудительно из task manager(появляется при нажатии ctrl+alt+del.)

hj.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Значит так:

 

...

O1 - Hosts: 195.82.147.147 pornolab.net static.pornolab.net :scare:

фиксить

O2 - BHO: (no name) - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)

 

зы букет из этой серии http://www.avira.com/ru/threats/section/fu...k.agent.ac.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Значит так:

 

...

O1 - Hosts: 195.82.147.147 pornolab.net static.pornolab.net :scare:

фиксить

 

Это я сам добавил... Когда у него делегирование ушло.

 

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

 

Возможно просто ошибки реестра. Fixed. (стояла она - была снесена, чистку реестра до снесения делал)

 

O2 - BHO: (no name) - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)

O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - (no file)

 

ОК.

 

Меня другое волнует. Что делать с файлами в userinit? Убить не дает, ни в реестре ни на диске. Маршруты кстати сброшенные, после ребута восстанавливаются.

 

зы букет из этой серии http://www.avira.com/ru/threats/section/fu...k.agent.ac.html

 

Да, каспер его типа нашел и убил, но... не убилось. Живет подлюка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
... Убить не дает, ни в реестре ни на диске. Маршруты кстати сброшенные, после ребута восстанавливаются.

убить любой файл если он зараженный можно с линуксового drweb сиди с помощью mc (типа волков командер). и заменить его на не зараженный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
... Убить не дает, ни в реестре ни на диске. Маршруты кстати сброшенные, после ребута восстанавливаются.

убить любой файл если он зараженный можно с линуксового drweb сиди с помощью mc (типа волков командер). и заменить его на не зараженный.

 

Делал(убивал). Хренушки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Делал(убивал). Хренушки.

а avz не судьба задействовать как написано в инструкции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Делал(убивал). Хренушки.

а avz не судьба задействовать как написано в инструкции?

 

Сегодня. Вчера были два полных сканирования терабайтного диска - времени не хватило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Сегодня. Вчера были два полных сканирования терабайтного диска - времени не хватило.

ждемс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Eolan, не забудьте перед лечением отключить восстановление Windows, а то оно у вас похоже включено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Eolan, не забудьте перед лечением отключить восстановление Windows, а то оно у вас похоже включено.

 

Да пожалуй вы правы... Вроде извел руками заразу, сначала все же cureItом прогнал сегодняшним - нашлась прога anysrv.exe (в карантине), файлы из юзеринит откопировал руками под касперовским ливсиди в другое место... вроде все ок но что дальше делать для окончательной уверенности?

 

Да и куда файлики то посылать? Не зря ж я их упаковывал?

hijackthis2.txt

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sockins32.dll и подозрительное на virustotal.com и ссылку на отчет суды.

а я пока почитаю, врубится сразу не могу, тут так много.

зы видимо надо тоже удалить

Explorer Bar {32683183-48a0-441b-a342-7c2a440a9478}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
sockins32.dll и подозрительное на virustotal.com и ссылку на отчет суды.

а я пока почитаю, врубится сразу не могу, тут так много.

 

Самого файла на диске найти не удалось.

 

Кому надо ссылку на getsysteminfo - пишите в личку. Много там слишком инфы.

 

зы видимо надо тоже удалить

Explorer Bar {32683183-48a0-441b-a342-7c2a440a9478}

 

Я его практически не использую. (Пришлось вот). Да, и не совсем понятно как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуем поймать этот sockins32.dll.

Выполнить скрипт в AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('sockins32.dll','');
RebootWindows(true);
end.

Карантин прислать на почту из Инструкции или в личку.

 

Комп домашний или рабочий с удалённым администрированием?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мде... Кое-что начинает проясняться. VladimirSS зря ссылку не открыли - там вполне все ясно описано... Послал на вирустотал получил http://www.virustotal.com/ru/analisis/cd3d...9ea2-1280861859

 

Попробуем поймать этот sockins32.dll.

Карантин прислать на почту из Инструкции или в личку.

 

Карантин пустой.

 

Комп домашний или рабочий с удалённым администрированием?

 

Домашний конечно - за ним счас сижу... Однако еще одну заразу удалось прибить, см. выше...

 

Кое-что однако в личку отправил.

 

Все - сегодня спать... Комп уже более-менее в рабочем состоянии, но исследования надо продолжать... И еще - когда я снова включу восстановление системы, все вирусы обратно вернутся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Необходимо очистить все временные файлы.

Выполнить скрипт в AVZ (отключаем службы: Удаленный реестр, TermService (Службы терминалов), Служба обнаружения SSDP, Alerter (Оповещатель), NetMeeting Remote Desktop Sharing, RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) и удаляем sockins32.dll):

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('sockins32.dll');
DelCLSID('{66186F05-BBBB-4a39-864F-72D84615C679}');
ExecuteSysClean;
RebootWindows(true);
end.

 

И еще - когда я снова включу восстановление системы, все вирусы обратно вернутся?

При отключении Восстановление системы все сохранённые точки восстановления удаляются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Мде... Кое-что начинает проясняться. VladimirSS зря ссылку не открыли - там вполне все ясно описано... Послал на вирустотал получил ...

... И еще - когда я снова включу восстановление системы, все вирусы обратно вернутся?

ну что её открывать - там и так все ясно :D

теперь надо не сильно заморачиваясь отправить этот файл на http://anubis.iseclab.org/ и глянуть анализ куда он срёт в реестр и какие файлы создает и в ручную зачистить.

почистить реестр. прогнать спай-ботом. создать точку восстановления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
И еще - когда я снова включу восстановление системы, все вирусы обратно вернутся?

Нет.

Только если снова чего-нибудь словишь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
И еще - когда я снова включу восстановление системы, все вирусы обратно вернутся?

Нет.

Только если снова чего-нибудь словишь.

 

Судя по ответу саппорта DrWeb - словлю:

Уважаемый eolan@xxxxxxxx.ru,

Ваш запрос был обработан Автоматической Системой. Присланный Вами файл находится в базе доверенных (чистых) файлов Dr.Web и не представляет угрозы.

 

 

Если Вы уверены, что данный файл представляет угрозу, пожалуйста, сообщите подробности в ответе на данное письмо.

 

Сообщил и ссылку на virustotal.com дал (речь об install.exe) только толку боюсь не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Сообщил и ссылку на virustotal.com дал (речь об install.exe) только толку боюсь не будет.

так отправь его на http://anubis.iseclab.org/ и прилепи ссылку на отчет. очень подозрительно, что его не палят наши лидеры.

тут ведь штука в чем, есть такие хитрые конструкции, которые являются транспортом и ведут себя мирно пока не получат обновление в виде .cab c удаленного сервера например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Сообщил и ссылку на virustotal.com дал (речь об install.exe) только толку боюсь не будет.

так отправь его на http://anubis.iseclab.org/ и прилепи ссылку на отчет. очень подозрительно, что его не палят наши лидеры.

тут ведь штука в чем, есть такие хитрые конструкции, которые являются транспортом и ведут себя мирно пока не получат обновление в виде .cab c удаленного сервера например.

 

 

Хммм. Я конечно все понимаю, но ведь srvany.exe CureIT пропалил (причем ни как вирус, ни как троян, а именно как .program) т.е. сама по себе она просто программа. Да перехватывает, да устанавливает маршруты и занимается всякой ерундой, но сама никого не заражает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Eolan, трудности с отправкой на Anubis ???

 

делайте логи авз и найджека для контроля, и покомчим с этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Необходимо очистить все временные файлы.

Выполнить скрипт в AVZ (отключаем службы: Удаленный реестр, TermService (Службы терминалов), Служба обнаружения SSDP, Alerter (Оповещатель), NetMeeting Remote Desktop Sharing, RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) и удаляем sockins32.dll):

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('sockins32.dll');
DelCLSID('{66186F05-BBBB-4a39-864F-72D84615C679}');
ExecuteSysClean;
RebootWindows(true);
end.

 

Сделал. На перезагрузке комп повис, пришлось ресетить. Службы включил заново после перезагрузки. Лог Авз после выполнения оного скрипта прилагаю.

 

Eolan, трудности с отправкой на Anubis ???

 

делайте логи авз и найджека для контроля, и покомчим с этим.

 

Трудностей нет, есть работа. :angry: А комп - дома.

http://anubis.iseclab.org/?action=result&a...962fdfb71d22e98 - отправил гадость туда.

 

UPD: Самое смешное что AV DESK говорит что инфицировано 5... 2 исцелено, про остальные - молчок.

 

UPD2: Спать пора. Завтра ваши ответы прочитаю.

virusinfo_syscheck.zip

hijackthis3.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Трудностей нет, есть работа. :angry: А комп - дома.

http://anubis.iseclab.org/?action=result&a...962fdfb71d22e98 - отправил гадость туда.

судя по отчету install.exe не несет в себе что-то страшное (или работает с чем то в паре, в связке). тренировки ради покидайте туда вирусы, поймете. он не пишет в реестр (так приглядывает за чем-то) или не он пишет.

а я тож дома и работы тож валом. + жара и дым. мозг не рулит.

а нет возможности подержаться за ссылку где вы на это напоролись?

 

 

UPD: Самое смешное что AV DESK говорит что инфицировано 5... 2 исцелено, про остальные - молчок.

а названия файлов или вирусов он не говорит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а нет возможности подержаться за ссылку где вы на это напоролись?

 

Завтра попробую найти, но сайт тут не важен... Вылазит характерный продолговатый черный баннер при попытке нажать "Close [X]"(синтаксис сохранен! т.е. написано так же, текстом) запускается гадость... Уже далеко не в первый раз на это гумно нарываюсь... Но раньше защиту не пробивало особо... Теперь жеж - млин.

 

UPD: Самое смешное что AV DESK говорит что инфицировано 5... 2 исцелено, про остальные - молчок.

а названия файлов или вирусов он не говорит?

 

Только когда вылечивает... Но статистику отображает исправно.

 

судя по отчету install.exe не несет в себе что-то страшное (или работает с чем то в паре, в связке). тренировки ради покидайте туда вирусы, поймете. он не пишет в реестр (так приглядывает за чем-то) или не он пишет.

 

Хм. А "Trojan.Win32.Agent2 (Sig-Id:13186457)" это типа шняга такая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Хм. А "Trojan.Win32.Agent2 (Sig-Id:13186457)" это типа шняга такая?

я спать - завтра разберем, почему так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Службы включил заново после перезагрузки.

Зачем ?

Все перечисленные при домашнем использовании не нужны.

Никакой пользы, кроме вреда. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Службы включил заново после перезагрузки.

Зачем ?

Все перечисленные при домашнем использовании не нужны.

Никакой пользы, кроме вреда. :)

 

Даже если лазить домой при помощи RDP? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Даже если лазить домой при помощи RDP? :)

А-а-а... еще и полазить надо. Не предугадал. :)

Тогда понадобится одна из них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Даже если лазить домой при помощи RDP? :huh:

А-а-а... еще и полазить надо. Не предугадал. :)

Тогда понадобится одна из них.

 

Если быть точным - две. И от UPnP в роутере тоже отказаться? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Если быть точным - две.
Неужели и "удаленный помощник" нужен и без него никак не получается обойтись ? :D Тогда действительно, лучше все шесть пусть будут включенными. :D
И от UPnP в роутере тоже отказаться? ;)
Ни в коем случае ! Пусть тоже будет, может пригодится. Чем больше мусора в сети, тем интереснее !

А IPX, Apple Talk, Bonjour есть на роутере ? Тоже включить надо. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах