NoAdmin 0 Опубликовано 30 апреля, 2008 Share Опубликовано 30 апреля, 2008 (изменено) Началось все с того что "как обычно" поймал вирус. KIS его не определил: ----------------------------------------- > Attachment: winsTj3h4.rar > Зайдя на сайт в зоне dp.ua, браузер автоматически загрузился exe-файл в корень С:. > KIS 7.0.1.325 - и ухом не повел (режимы по умолчанию) Здравствуйте, winsTj3h4.exe_ - Trojan-Proxy.Win32.Small.mv Детектирование файла будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. -- С уважением, Евгений Асеев Вирусный аналитик Лаборатории Касперского. e-mail: newvirus@kaspersky.com http://www.kaspersky.com/ ------------------- Далее началось самое интересное. KIS 7.0.1.325 начал сбоить: При отключенной сети замечена высокая активность svchost.exe Запускаю AVZ: 7. Эвристичеcкая проверка системы >>> C:\WINDOWS\winlogon.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) Полностью переустановил KIS. После переустановки (с теми-же базами) обнаружил и удалил C:\WINDOWS\winlogon.exe И через некоторое время удивил обнаружив и удалив трояна в файлах AVZ Однако ситуация прежняя - высокая загрузка CPU от svchost.exe при выключенной сети - при включении сети загрузка падает на 0, но начинается сетевая активность. - KIS постоянно сбоит (через 3...5 мин после перезагрузки снова ошибки, иногда ядро выгрузится, иногда зависнет ОС - приходится жать RESET) virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.txt sysinfo.zip Изменено 30 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 30 апреля, 2008 Share Опубликовано 30 апреля, 2008 (изменено) NoAdmin, удален карантин AVZ, а не троян в AVZ...сейчас логи гляну. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\basexfxqg32.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Выполните в АВЗ function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End. Прикрепите также к сообщению SubSystems.log из папки AVZ. Пока все повторите логи. Это знакомые Вас IP? 195.248.191.65,195.248.191.134 Изменено 30 апреля, 2008 пользователем akoK 2 Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 30 апреля, 2008 Автор Share Опубликовано 30 апреля, 2008 (изменено) Это знакомые Вас IP?195.248.191.65,195.248.191.134 Это DNS-сервера моего провайдера А есть какая-то связь? Все выполнил. Активность "заразы" сошла на нет. sysinfo.zip virusinfo_syscure.zip hijackthis.txt virusinfo_syscheck.zip Жду Вашего резюме! Изменено 30 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 30 апреля, 2008 Share Опубликовано 30 апреля, 2008 А есть какая-то связь? Просто иногда вирусы перенаправляют трафик через "свои" сервера. Врага прибили подозрительного больше ничего нет. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 30 апреля, 2008 Автор Share Опубликовано 30 апреля, 2008 (изменено) Это радует! Благодарствую господа! До скорых встреч! Изменено 30 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.