Показано с 1 по 18 из 18.

Водопад троянов (заявка № 11831)

  1. #1
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34

    Thumbs up Водопад троянов

    Вчера (19.0 ровно в 23.31 компьютер был просто завален троянами. Сегодня пришлось день потратить на выковыривание. В результате не получатеся выковырять последнего (надеюсь).
    eTrust говорит, что вроде есть некий Cutwail.
    В диспетчере видно, что идет процесс IEXPLORE.EXE, в то время, как ни одного окна не открыто. При этом очень лихо что-то качает в обе стороны по сети.
    Логи от AVZ удалось сделать только в safemode, так как в нормальном режиме в какой-то момент компьютер просто перезагружался.
    Лог от Hijack получился без проблем.
    Помогите, пожалуйста.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Выполните вот такой скрипт в AVZ.
    AVZ -> Меню Файл -> Выполнить скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\vsb.sys','');
     QuarantineFile('C:\WINDOWS\winstart.bat','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrSvc('runtime2');
     BC_QrSvc('runtime');
     BC_QrSvc('Ip6Fw');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('runtime');
    BC_Activate;
    RebootWindows(false);
    end.
    После выполнения скрипта, компьютер перезагрузится.
    После перезагрузки, пришлите попавшие в карантин файлы согласно правилам. (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  4. #3
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Попытался выполнить скрипт в нормальном режиме. В результате произошла перезагрузка, судя по всему, преждевременно опять, так как в карантине есть только файлы, которые остались от предыдущего выполнения в safemode. После загрузки компьютера и подключения к интернету AVG выловил Trojan horse BackDoor.Generic7.XXD, имя файла 244046.exe, файл оказался в C:\Documents and Settings\L\Local Settings\Temp. Также XP выдало сообщение о критической ошибке и восстановлении. Зато теперь отсутствует активность в сети. Имеет ли смысл запускать скрипт еще раз, только теперь в safemode? Из всех файлов, указанных в скрипте сейчас на месте только два:
    C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    C:\WINDOWS\System32\DRIVERS\vsb.sys

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Пришлите карантин по правилам и сделайте новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Вот новые логи.
    Логи AVZ снова удалось сделать только в safemode.
    С логом Hijack все в порядке.
    Когда перезагружался из safemode, то при загрузке антивирус ругался на файл C:\WINDOWS\system32\drivers\secdrv.sys
    После того, как подключился к интернету, тут же появилась сетевая активность и антивирус выловил Trojan horse BackDoor.Generic7.XXD, имя файла опять состояло из набора цифр, размещение все тоже:
    C:\Documents and Settings\L\Local Settings\Temp
    После перехвата сетевая активность прекратилась.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Загрузитесь в сейф мод и выполните скрипт.

    AVZ -> Меню Файл -> Выполнить скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\tmpcpyis.bat','');
     QuarantineFile('C:\WINDOWS\system32\drivers\secdrv.sys','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrSvc('runtime2');
     BC_QrSvc('runtime');
     BC_QrSvc('Ip6Fw');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('runtime');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(false);
    end.
    После выполнения скрипта, компьютер перезагрузится.
    После перезагрузки, пришлите попавшие в карантин файлы согласно правилам.

  8. #7
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Файлы отправил.
    Во время исполнения скрипта краем глаза заметил, что пару раз мелькала ошибка прямого чтения, но все было слишком быстро, подробности не успел углядеть.
    Пока никаких проявлений подозрительной активности не наблюдается.
    Но eTrust выдает следующий результат сканирования:
    Cutwail G
    File: C:\WINDOWS\Temp\startdrv.exe {самого файла в папке я не вижу}
    Key: hkey_local_machine\software\microsoft\windows\curr entversion\run
    Cutwail L
    Key: hkey_local_machine\system\currentcontrolset\servic es\runtime
    Cutwail T
    Key: hkey_local_nachine\system\currentcontrolset\enum\r oot\legacy_runtime
    Key:hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Вот новые логи.
    Что можно отметить - удалось их сделать в обычном режиме, комп работает нормально во время выполнения скриптов AVZ.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    C:\WINDOWS\Temp\startdrv.exe - Trojan-Downloader.Win32.Agent.acl
    C:\WINDOWS\system32\drivers\ip6fw.sys - Backdoor.Win32.IRCBot.adg

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    повторите лог hijackthis

    вот в этом главная проблема :

    Windows XP SP1 (WinNT 5.01.2600)
    Internet Explorer v6.00 SP1 (6.00.2800.1106)


    нужно обновить операционную систему до SP2+все последние критические обновления
    так же обновить Internet Explorer уже 7 версия.
    Последний раз редактировалось Muzzle; 21.08.2007 в 04:03. Причина: дополнил

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    Цитата Сообщение от PLS Посмотреть сообщение
    Вот новые логи.
    Что можно отметить - удалось их сделать в обычном режиме, комп работает нормально во время выполнения скриптов AVZ.
    Пофиксите вот эту строку в HijackThis:
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Все остальные логи чистые.

  13. #12
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Выполнил скрипт от Muzzle.
    Компьютер перезагрузился, выдал сообщение "Система восстановлена после серъезной ошибки", хотя восстановление системы отключено, крашнулся, выполнил CHKDSK, перезагрузился, два раза выдал сообщение о восстановлении, после чего успокоился.
    Лог Hijack сделал, в нем не оказалось строчки
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    видимо, AVZ это зачистил.
    eTrust все еще выдает при сканировании:
    Cutwail L
    Key: hkey_local_machine\system\currentcontrolset\servic es\runtime
    Cutwail T
    Key:hkey_local_nachine\system\currentcontrolset\en um\root\legacy_runtime
    Key:hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
    но похоже, что это уже ни на что не влияет.

    Спасибо за замечание по поводу софта, хозяйство досталось по наследству, даже не обращал внимание, что XP SP1, а не 2. Как всегда, руки не доходили, пока все работало. Придется вплотную занятся вопросом.
    Вложения Вложения

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Этот ключик пожалуй надо удалить (целиком):
    hkey_local_machine\system\currentcontrolset\servic es\runtime
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    Этот ключик пожалуй надо удалить (целиком):
    hkey_local_machine\system\currentcontrolset\servic es\runtime
    Удалось удалить без проблем.
    А вот оставшиеся два ключа
    hkey_local_nachine\system\currentcontrolset\en um\root\legacy_runtime
    hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
    в нормальном режиме не удаляются вообще. Может их и не трогать? Или попробовать в safemode и их прибить?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Попробуйте прибить.

  17. #16
    Junior Member Репутация
    Регистрация
    20.08.2007
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Попробуйте прибить.
    Не удается даже в safemode.
    Интересно, что AVZ при поиске данных в реестре "не видит" эту часть реестра, то есть глубже чем
    hkey_local_machine\system\currentcontrolset\enum
    поиск не происходит, может так и задумано?
    Но все это уже из спортивного интереса, так как никакой троянской активности больше не наблюдается, антивирусами ничего не находится.
    Большое всем спасибо за помощь и участие.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от PLS Посмотреть сообщение
    оставшиеся два ключа
    hkey_local_nachine\system\currentcontrolset\en um\root\legacy_runtime
    hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
    в нормальном режиме не удаляются вообще. Может их и не трогать?
    Плюнуть и забыть. Там особые права стоят. И вместе с ключами ещё что-то надо удалять. Строчки из какого-то REG_MULTI_SZ.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ip6fw.sys - Backdoor.Win32.IRCBot.adg (DrWEB: Trojan.NtRootKit.350)
      2. c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Agent.acl (DrWEB: BackDoor.Bulknet)
      3. \\systemroot\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.321)


  • Уважаемый(ая) PLS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Куча троянов
      От Pchelnikoff в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.12.2009, 15:07
    2. Пачка троянов
      От Yana в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 31.10.2009, 19:11
    3. Куча троянов [Trojan.Win32.Inject.nph ]
      От Red352 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 10:04
    4. Куча троянов
      От AndreyM16 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:45
    5. Кучка троянов
      От Rogoff в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.08.2007, 13:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00892 seconds with 25 queries