Борьба гигантов

[NoAdmin]

Началось все с того что "как обычно" поймал вирус.

 

KIS его не определил:

-----------------------------------------

 

> Attachment: winsTj3h4.rar

> Зайдя на сайт в зоне dp.ua, браузер автоматически загрузился exe-файл в корень С:.

> KIS 7.0.1.325 - и ухом не повел (режимы по умолчанию)

 

Здравствуйте,

winsTj3h4.exe_ - Trojan-Proxy.Win32.Small.mv

Детектирование файла будет добавлено в следующее обновление.

Пожалуйста, при ответе включайте переписку целиком.

--

С уважением, Евгений Асеев

Вирусный аналитик Лаборатории Касперского.

e-mail: newvirus@kaspersky.com

http://www.kaspersky.com/

-------------------

 

Далее началось самое интересное. KIS 7.0.1.325 начал сбоить:

 

При отключенной сети замечена высокая активность svchost.exe

 

Запускаю AVZ:

 

7. Эвристичеcкая проверка системы

>>> C:\WINDOWS\winlogon.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)

 

Полностью переустановил KIS.

После переустановки (с теми-же базами) обнаружил и удалил C:\WINDOWS\winlogon.exe

И через некоторое время удивил обнаружив и удалив трояна в файлах AVZ

 

Однако ситуация прежняя

- высокая загрузка CPU от svchost.exe при выключенной сети

- при включении сети загрузка падает на 0, но начинается сетевая активность.

- KIS постоянно сбоит (через 3...5 мин после перезагрузки снова ошибки, иногда ядро выгрузится, иногда зависнет ОС - приходится жать RESET)

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.txt

sysinfo.zip

Изменено 30 апреля, 2008 пользователем NoAdmin

[akoK]

NoAdmin, удален карантин AVZ, а не троян в AVZ...сейчас логи гляну.

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\basexfxqg32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

Выполните в АВЗ

 

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
 i := Pos(SSS,SS); l := Length(ss);
 If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
 s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
  SS := SL[i];
  If Pos('ServerDll=base',SS) > 0 Then Begin
 If SS <> 'ServerDll=basesrv,1' Then Begin
 AddToLog('Infected "SubSystem" value : ' + SS);
 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
 end;
 end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
 i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
 SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
 AddToLog('Infection name : ' + SSS + '.dll');
 SetAVZGuardStatus(True);
 If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
 SF.Add('REGEDIT4'); SF.Add('');
 SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
 SSS := '"Windows"=hex(2):';
 for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
 SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
 ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
 SaveLog(GetAVZDirectory + 'SubSystems.log');
 RebootWindows(false);
end;
SL.Free; SF.Free;
End.

 

Прикрепите также к сообщению SubSystems.log из папки AVZ.

 

Пока все повторите логи.

 

Это знакомые Вас IP?

195.248.191.65,195.248.191.134

Изменено 30 апреля, 2008 пользователем akoK

[NoAdmin]

Это знакомые Вас IP?

195.248.191.65,195.248.191.134

Это DNS-сервера моего провайдера

А есть какая-то связь?

 

Все выполнил. Активность "заразы" сошла на нет.

 

sysinfo.zip

virusinfo_syscure.zip

hijackthis.txt

virusinfo_syscheck.zip

 

Жду Вашего резюме!

Изменено 30 апреля, 2008 пользователем NoAdmin

[ТроПа]

А есть какая-то связь?

Просто иногда вирусы перенаправляют трафик через "свои" сервера.

Врага прибили подозрительного больше ничего нет.

[NoAdmin]

Это радует! Благодарствую господа!

 

До скорых встреч!

Изменено 30 апреля, 2008 пользователем NoAdmin