Троян с "Вечной жизнью"

[NoAdmin]

  wise-wistful сказал:

В логах врагов нет. Поздравляю

 

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

 

Уже опознали Вашего врага baselbd32.dll - Trojan.Win32.Agent.jig

 

СМЕРть Шпионам! Спасибо! Почитаем!

[NoAdmin]

Наша песня хороша! Начинай сначала!

 

Сегодня: удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT8D32.exe

 

Простым поиском baselbd32.dll не найден!

Изменено 5 апреля, 2008 пользователем NoAdmin

[akoK]

Давайте логи.

[ТроПа]

Давайте логи. Ух, что ж такое-то.

[akoK]

Наверное где-то исходник сидит или пароли умыкнули или шары.....

[NoAdmin]

Сейчас займусь логами!

 

Пока обновил базы KIS - полная проверка:

 

удалено: троянская программа Trojan.Win32.Agent.gkh Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP13\A0012366.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP13\A0012374.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP13\A0012375.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0012963.exe

удалено: троянская программа Trojan.Win32.Agent.jig Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0012964.dll

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0013057.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0013058.exe

удалено: рекламная программа not-a-virus:AdWare.Win32.Mostofate.dh Файл: E:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0012974.exe//UPX//CAB/data\{C823E42A-7713-4888-B140-1D5844CE73E3}\11\wmadvisor.exe//data0013

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT8A32.exe

удалено: троянская программа Trojan.Win32.Agent.jig Файл: E:\CD_SYS\System\KAV\AVZ 4.29\Quarantine\2008-04-03\avz00001.dta

удалено: троянская программа Trojan.Win32.Agent.jig Файл: E:\CD_SYS\System\KAV\AVZ 4.29\Quarantine\2008-04-03\bcqr00001.dta

удалено: троянская программа Trojan.Win32.Agent.jig Файл: E:\CD_SYS\System\KAV\AVZ 4.29\Quarantine\2008-04-03\bcqr00002.dta

[ТроПа]

Ну пока только отключить восстановление системы и тем самым прибить там в врагов ну и карантин авз погонял касперский.

[NoAdmin]

- Отключено восстановление системы

- Отключен KIS

- AVZ:

virusinfo_syscure.zipПолучение информации...

- Перегружаюсь

- KIS удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT6532.exe

- Отключен KIS (При отключении сообщил: У Вас 10 соединений!?)

- AVZ:

virusinfo_syscheck.zipПолучение информации...

- GetSystemInfo

sysinfo.txtПолучение информации...

- Hijackthis

hijackthis.txtПолучение информации...

Изменено 4 апреля, 2008 пользователем NoAdmin

[akoK]

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\JKDEFR~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\baseeopiq32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Карантин отправить на akok<at>virusinfo.info

 

 

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
 i := Pos(SSS,SS); l := Length(ss);
 If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
 s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
  SS := SL[i];
  If Pos('ServerDll=base',SS) > 0 Then Begin
 If SS <> 'ServerDll=basesrv,1' Then Begin
 AddToLog('Infected "SubSystem" value : ' + SS);
 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
 end;
 end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
 i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
 SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
 AddToLog('Infection name : ' + SSS + '.dll');
 SetAVZGuardStatus(True);
 If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
 SF.Add('REGEDIT4'); SF.Add('');
 SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
 SSS := '"Windows"=hex(2):';
 for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
 SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
 ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
 SaveLog(GetAVZDirectory + 'SubSystems.log');
 RebootWindows(false);
end;
SL.Free; SF.Free;
End.

 

Пофиксить

 	O1 - Hosts: 127.0.0.2 custom-host			
  O1 - Hosts: 127.0.0.2 www.custom			
  O1 - Hosts: 127.0.0.2 custom

Повторите логи. Прикрепите также к сообщению SubSystems.log из папки AVZ.

Изменено 4 апреля, 2008 пользователем akoK

[NoAdmin]

- Скрипт 1 выполнен

- Перезагрузка

- KIS: удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT7432.exe

- Скрипт 2 выполнен

- Карантин отправлен на mail

- Скрипт 3 выполнен

- Перезагрузка

- В HOST оставлен лишь: 127.0.0.1 localhost

 

virusinfo_syscure.zipПолучение информации...

virusinfo_syscheck.zipПолучение информации...

sysinfo.txtПолучение информации...

hijackthis.txtПолучение информации...

SubSystems.txtПолучение информации...

Изменено 4 апреля, 2008 пользователем NoAdmin

[vidocq89]

akoK, а какие результаты по "C:\WINDOWS\JKDEFR~1.SCR"?

в логах ничего опасного я не увидел... хотя я не профессионал, будем ждать акоКа или wise-wistful.

вы через IE по интернету путешествуете? кажеться у вас не последняя версия експлорера...

флешки нехорошие не вставляете?

[NoAdmin]

  vidocq89 сказал:

вы через IE по интернету путешествуете? кажеться у вас не последняя версия експлорера...

флешки нехорошие не вставляете?

 

IE 6.0 - не спешу с новыми прогами (только пол-года как пересел с W2k на XP), но если причина в этом - то конечно

Флешки не пользую.

[ТроПа]

Врага прибили в очередной раз.

  Цитата

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Это действительно необходимо?

[NoAdmin]

  wise-wistful сказал:

Врага прибили в очередной раз.

Я так понял враг скрывался в личине baseeopiq32.dll ?

 

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun 0xFF

 

Вроде как все отключено в реестре...

 

Где еще отключать - не знаю

 

Пока все нормально, однако:

- Пропали значки "Спам", "Не спам" в Outlook Express

- При запуске локального сервера (Apache, Perl, Php, MySql - Денвер) не запускается в пакетном режиме MySql, только вручную (файлы подменял из архива)

Изменено 5 апреля, 2008 пользователем NoAdmin

[akoK]

н-даа и по каким помойкам Вас носило....новье (хорошо, что это решаемо)

C:\WINDOWS\system32\baseeopiq32.dll

  Цитата

нтивирус Версия Обновление Результат

AhnLab-V3 2008.4.4.1 2008.04.04 -

AntiVir 7.6.0.81 2008.04.04 HEUR/Crypted

Authentium 4.93.8 2008.04.03 -

Avast 4.7.1098.0 2008.04.04 -

AVG 7.5.0.516 2008.04.04 -

BitDefender 7.2 2008.04.04 Trojan.Inject.GF

CAT-QuickHeal 9.50 2008.04.04 -

ClamAV 0.92.1 2008.04.04 -

DrWeb 4.44.0.09170 2008.04.04 -

eSafe 7.0.15.0 2008.04.01 -

eTrust-Vet 31.3.5670 2008.04.04 -

Ewido 4.0 2008.04.04 -

F-Prot 4.4.2.54 2008.04.04 -

F-Secure 6.70.13260.0 2008.04.04 -

FileAdvisor 1 2008.04.04 -

Fortinet 3.14.0.0 2008.04.04 -

Ikarus T3.1.1.20.0 2008.04.04 Trojan.Inject.GF

Kaspersky 7.0.0.125 2008.04.04 -

McAfee 5267 2008.04.04 -

Microsoft 1.3408 2008.04.03 -

NOD32v2 3003 2008.04.04 -

Norman 5.80.02 2008.04.04 -

Panda 9.0.0.4 2008.04.04 Suspicious file

Prevx1 V2 2008.04.04 Generic.Malware

Rising 20.38.60.00 2008.04.03 -

Sophos 4.28.0 2008.04.04 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.04.04 -

TheHacker 6.2.92.264 2008.04.04 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.04.04 Trojan.DL.BServ.Gen

Webwasher-Gateway 6.6.2 2008.04.04 Heuristic.Crypted

 

C:\WINDOWS\JkDefragScreenSaver.scr - чист по www.virustotal.com

Изменено 4 апреля, 2008 пользователем akoK