Троян с "Вечной жизнью"

3 апреля, 2008

В логах врагов нет. Поздравляю

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Уже опознали Вашего врага baselbd32.dll - Trojan.Win32.Agent.jig

СМЕРть Шпионам! Спасибо! Почитаем!

4 апреля, 2008

Наша песня хороша! Начинай сначала!

Сегодня: удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT8D32.exe

Простым поиском baselbd32.dll не найден!

Изменено 5 апреля, 2008 пользователем NoAdmin

4 апреля, 2008

Давайте логи.

4 апреля, 2008

Давайте логи. Ух, что ж такое-то.

4 апреля, 2008

Наверное где-то исходник сидит или пароли умыкнули или шары.....

4 апреля, 2008

Сейчас займусь логами!

Пока обновил базы KIS - полная проверка:

удалено: троянская программа Trojan.Win32.Agent.gkh Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP13\A0012366.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP13\A0012374.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP13\A0012375.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0012963.exe

удалено: троянская программа Trojan.Win32.Agent.jig Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0012964.dll

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0013057.exe

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0013058.exe

удалено: рекламная программа not-a-virus:AdWare.Win32.Mostofate.dh Файл: E:\System Volume Information\_restore{34E929E6-A768-461D-B0CF-E3F92F379B9E}\RP14\A0012974.exe//UPX//CAB/data\{C823E42A-7713-4888-B140-1D5844CE73E3}\11\wmadvisor.exe//data0013

удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT8A32.exe

удалено: троянская программа Trojan.Win32.Agent.jig Файл: E:\CD_SYS\System\KAV\AVZ 4.29\Quarantine\2008-04-03\avz00001.dta

удалено: троянская программа Trojan.Win32.Agent.jig Файл: E:\CD_SYS\System\KAV\AVZ 4.29\Quarantine\2008-04-03\bcqr00001.dta

удалено: троянская программа Trojan.Win32.Agent.jig Файл: E:\CD_SYS\System\KAV\AVZ 4.29\Quarantine\2008-04-03\bcqr00002.dta

4 апреля, 2008

Ну пока только отключить восстановление системы и тем самым прибить там в врагов ну и карантин авз погонял касперский.

4 апреля, 2008

- Отключено восстановление системы

- Отключен KIS

- AVZ:

virusinfo_syscure.zip

- Перегружаюсь

- KIS удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT6532.exe

- Отключен KIS (При отключении сообщил: У Вас 10 соединений!?)

- AVZ:

virusinfo_syscheck.zip

- GetSystemInfo

sysinfo.txt

- Hijackthis

hijackthis.txt

Изменено 4 апреля, 2008 пользователем NoAdmin

4 апреля, 2008

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\JKDEFR~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\baseeopiq32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин отправить на akok<at>virusinfo.info

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
 i := Pos(SSS,SS); l := Length(ss);
 If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
 s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
  SS := SL[i];
  If Pos('ServerDll=base',SS) > 0 Then Begin
 If SS <> 'ServerDll=basesrv,1' Then Begin
 AddToLog('Infected "SubSystem" value : ' + SS);
 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
 end;
 end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
 i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
 SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
 AddToLog('Infection name : ' + SSS + '.dll');
 SetAVZGuardStatus(True);
 If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
 SF.Add('REGEDIT4'); SF.Add('');
 SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
 SSS := '"Windows"=hex(2):';
 for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
 SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
 ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
 SaveLog(GetAVZDirectory + 'SubSystems.log');
 RebootWindows(false);
end;
SL.Free; SF.Free;
End.

Пофиксить

 	O1 - Hosts: 127.0.0.2 custom-host			
  O1 - Hosts: 127.0.0.2 www.custom			
  O1 - Hosts: 127.0.0.2 custom

Повторите логи. Прикрепите также к сообщению SubSystems.log из папки AVZ.

Изменено 4 апреля, 2008 пользователем akoK

4 апреля, 2008

- Скрипт 1 выполнен

- Перезагрузка

- KIS: удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT7432.exe

- Скрипт 2 выполнен

- Карантин отправлен на mail

- Скрипт 3 выполнен

- Перезагрузка

- В HOST оставлен лишь: 127.0.0.1 localhost

virusinfo_syscure.zip

virusinfo_syscheck.zip

sysinfo.txt

hijackthis.txt

SubSystems.txt

Изменено 4 апреля, 2008 пользователем NoAdmin

4 апреля, 2008

akoK, а какие результаты по "C:\WINDOWS\JKDEFR~1.SCR"?

в логах ничего опасного я не увидел... хотя я не профессионал, будем ждать акоКа или wise-wistful.

вы через IE по интернету путешествуете? кажеться у вас не последняя версия експлорера...

флешки нехорошие не вставляете?

4 апреля, 2008

вы через IE по интернету путешествуете? кажеться у вас не последняя версия експлорера...
флешки нехорошие не вставляете?

IE 6.0 - не спешу с новыми прогами (только пол-года как пересел с W2k на XP), но если причина в этом - то конечно

Флешки не пользую.

4 апреля, 2008

Врага прибили в очередной раз.

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Это действительно необходимо?

4 апреля, 2008

Врага прибили в очередной раз.

Я так понял враг скрывался в личине baseeopiq32.dll ?

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDriveTypeAutoRun 0xFF

Вроде как все отключено в реестре...

Где еще отключать - не знаю

Пока все нормально, однако:

- Пропали значки "Спам", "Не спам" в Outlook Express

- При запуске локального сервера (Apache, Perl, Php, MySql - Денвер) не запускается в пакетном режиме MySql, только вручную (файлы подменял из архива)

Изменено 5 апреля, 2008 пользователем NoAdmin

4 апреля, 2008

н-даа и по каким помойкам Вас носило....новье (хорошо, что это решаемо)

C:\WINDOWS\system32\baseeopiq32.dll

нтивирус Версия Обновление Результат
AhnLab-V3 2008.4.4.1 2008.04.04 -

AntiVir 7.6.0.81 2008.04.04 HEUR/Crypted

Authentium 4.93.8 2008.04.03 -

Avast 4.7.1098.0 2008.04.04 -

AVG 7.5.0.516 2008.04.04 -

BitDefender 7.2 2008.04.04 Trojan.Inject.GF

CAT-QuickHeal 9.50 2008.04.04 -

ClamAV 0.92.1 2008.04.04 -

DrWeb 4.44.0.09170 2008.04.04 -

eSafe 7.0.15.0 2008.04.01 -

eTrust-Vet 31.3.5670 2008.04.04 -

Ewido 4.0 2008.04.04 -

F-Prot 4.4.2.54 2008.04.04 -

F-Secure 6.70.13260.0 2008.04.04 -

FileAdvisor 1 2008.04.04 -

Fortinet 3.14.0.0 2008.04.04 -

Ikarus T3.1.1.20.0 2008.04.04 Trojan.Inject.GF

Kaspersky 7.0.0.125 2008.04.04 -

McAfee 5267 2008.04.04 -

Microsoft 1.3408 2008.04.03 -

NOD32v2 3003 2008.04.04 -

Norman 5.80.02 2008.04.04 -

Panda 9.0.0.4 2008.04.04 Suspicious file

Prevx1 V2 2008.04.04 Generic.Malware

Rising 20.38.60.00 2008.04.03 -

Sophos 4.28.0 2008.04.04 -

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.04.04 -

TheHacker 6.2.92.264 2008.04.04 -

VBA32 3.12.6.3 2008.03.25 -

VirusBuster 4.3.26:9 2008.04.04 Trojan.DL.BServ.Gen

Webwasher-Gateway 6.6.2 2008.04.04 Heuristic.Crypted

C:\WINDOWS\JkDefragScreenSaver.scr - чист по www.virustotal.com

Изменено 4 апреля, 2008 пользователем akoK

Троян с "Вечной жизнью"

Рекомендуемые сообщения

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

ТроПа

akoK

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

vidocq89

Ссылка на комментарий

Поделиться на другие сайты

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

NoAdmin

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum