NoAdmin Опубликовано 30 апреля, 2008 Поделиться Опубликовано 30 апреля, 2008 (изменено) Началось все с того что "как обычно" поймал вирус. KIS его не определил: ----------------------------------------- > Attachment: winsTj3h4.rar > Зайдя на сайт в зоне dp.ua, браузер автоматически загрузился exe-файл в корень С:. > KIS 7.0.1.325 - и ухом не повел (режимы по умолчанию) Здравствуйте, winsTj3h4.exe_ - Trojan-Proxy.Win32.Small.mv Детектирование файла будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. -- С уважением, Евгений Асеев Вирусный аналитик Лаборатории Касперского. e-mail: newvirus@kaspersky.com http://www.kaspersky.com/ ------------------- Далее началось самое интересное. KIS 7.0.1.325 начал сбоить: При отключенной сети замечена высокая активность svchost.exe Запускаю AVZ: 7. Эвристичеcкая проверка системы >>> C:\WINDOWS\winlogon.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) Полностью переустановил KIS. После переустановки (с теми-же базами) обнаружил и удалил C:\WINDOWS\winlogon.exe И через некоторое время удивил обнаружив и удалив трояна в файлах AVZ Однако ситуация прежняя - высокая загрузка CPU от svchost.exe при выключенной сети - при включении сети загрузка падает на 0, но начинается сетевая активность. - KIS постоянно сбоит (через 3...5 мин после перезагрузки снова ошибки, иногда ядро выгрузится, иногда зависнет ОС - приходится жать RESET) virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.txt sysinfo.zip Изменено 30 апреля, 2008 пользователем NoAdmin Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 30 апреля, 2008 Поделиться Опубликовано 30 апреля, 2008 (изменено) NoAdmin, удален карантин AVZ, а не троян в AVZ...сейчас логи гляну. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\basexfxqg32.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Выполните в АВЗ function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End. Прикрепите также к сообщению SubSystems.log из папки AVZ. Пока все повторите логи. Это знакомые Вас IP? 195.248.191.65,195.248.191.134 Изменено 30 апреля, 2008 пользователем akoK 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
NoAdmin Опубликовано 30 апреля, 2008 Автор Поделиться Опубликовано 30 апреля, 2008 (изменено) Это знакомые Вас IP?195.248.191.65,195.248.191.134 Это DNS-сервера моего провайдера А есть какая-то связь? Все выполнил. Активность "заразы" сошла на нет. sysinfo.zip virusinfo_syscure.zip hijackthis.txt virusinfo_syscheck.zip Жду Вашего резюме! Изменено 30 апреля, 2008 пользователем NoAdmin Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 30 апреля, 2008 Поделиться Опубликовано 30 апреля, 2008 А есть какая-то связь? Просто иногда вирусы перенаправляют трафик через "свои" сервера. Врага прибили подозрительного больше ничего нет. 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
NoAdmin Опубликовано 30 апреля, 2008 Автор Поделиться Опубликовано 30 апреля, 2008 (изменено) Это радует! Благодарствую господа! До скорых встреч! Изменено 30 апреля, 2008 пользователем NoAdmin Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти