Показано с 1 по 8 из 8.

Троян или руткит? (заявка № 12120)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    3
    Вес репутации
    34

    Exclamation Троян или руткит?

    Почти неделю назад совершил опрометчивый поступок - скачат с одного форума архив программ-байндеров. Потом стал их проверять в работе.
    Закончилось любопытство плачевно. Что-то плохое поселилось на компе. Почему "что-то"? Потому что не могу идентифицировать. Использовал KAV-2007, Outpost Security Suite и AVZ. И ничего! Все найденные трояны обезвреживались и удалялись. Некоторые файлы я просто запер в архив (не хотел их удалять).

    Дня через два заметил глюк -- многие исполняемые файлы перестали открываться. Или же например выкидывали окошко со словами "virus-check" и "corrupted". У меня очень большая коллекция софта, поэтому принял решение переустановить систему, т.к. файлы не хотели открываться и с компакт-диска.

    4 раза переустанавливал систему. И каждый раз появлялся такой глюк.
    Стоит чистая винда ХР. Пробую открыть Блокнот. Всё нормально. Открываю какой-нибудь посторонний .exe. Потом открываю Блокнот и ... ничего не происходит. Нельзя даже изменить язык или время, короче, ничего от Windows. Оставил комп на день в отключке. Затем реинстол. Вроде бы всё нормально. НО! Файрволл детектит, что идёт соединение от файлов Windows (winlogon.exe). Проверил системные файлы с оригиналами -- +10 кб. Что это может быть? Снова ставить систему с нуля просто не хочется - сил уже нет.

    Свой диск с софтом я использовал и на чужом ноутбуке. Там сети нет, но есть один непонятный баг. OSS и AVZ виснут в папке C:\WINDOWS\system32\wbem\Repository. Я описал баг, но, увы, никакого ответа от Олега Зайцева так и не получил (логи также отослал).

    Мне могут посоветовать почистить комп, но ведь и после полного форматирования проблема осталась. Да и софт выкидывать не хочется.

    Как отловить эту гадость, которая портит .exe? Пожалуйста...

    Прилагаю 2 лога, один полный, второй сокращённый, но самое главное там есть.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    1. Очевидно, у вас файловый вирус.
    2. Отправьте по правилам карантина любой экешник, который точно заражен, нам.
    3. Проверьте файлы, которые "ругаются" ("corrupted" и т.д.) на virustotal.com
    4. Где лог hajck-ка?

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Дополню Alex_Goodwin'a:
    4. Скачайте свежий CureIt (http://www.drweb.ru/download/1028/) на другом компьютере, запишите его на CD, на своем запустите прямо с CD и выполните полную (не только экспресс) проверку в безопасном режиме.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    3
    Вес репутации
    34
    Alex_Goodwin,
    Bratez,
    спасибо за ответы! Мне пришлось вчера ставить новую операционную систему, поэтому файлы пока новые, но в ближайшие дни вирус себя ещё явно проявит (т.к. снова буду ставить проги с того диска).
    Все рекомендации я выполню и напишу о результатах. Только в связи с ограничением по трафику я не смогу это сделать в ближайшие дни. Извините, пожалуйста, за подобное неудобство.

    У меня есть ещё один вопрос по этой же теме.
    Сразу после новой установки WinXP решил проверить интернет...и вдруг с удивлением заметил, что winlogon.exe пробует соединиться с сайтом ircd.zief.pl. Это так и должно быть на ЧИСТОЙ (возможно) и НОВОЙ операционке? И ещё вопрос. Все программы ставлю только со своих дисков. На этапе установки проблем нет, но они возникают позже. Можно ли найти вирус в установочном пакете или точно определить программу, которую категорически нельзя ставить? Стоит ли отказываться от работы в режиме Администратора?

    P.S. проверил системные файлы на наличие цифровой подписи (file signature verification) . Как ни странно, но многие файлы от Майкрософта её не имеют. Проверку делал во время нахождения в сети и файл верификации тоже хотел законнектиться с кем-то.
    Последний раз редактировалось Kodji; 05.09.2007 в 14:09. Причина: опечатка

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Давайте логи с только что установленной системы.
    Работать под администратором не рекомендуется.Попробуйте использовать другие дистрибутивы с операционной системой и программами,мб действительно у вас там кроются "подарки"

  7. #6
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    3
    Вес репутации
    34
    Muzzle,
    лог совпадает с прежними - снова красным шрифтом сообщается о наличии кода руткита. Хотя совсем недавно логи были чистыми. Наверное, винда ни при чём, проблема в установленных программах.

    Закачал на сайт файл notepad.exe в архиве. Исполняемый файл не загружается.
    67.5 кб - оригинальный файл от Майкрософта.
    78 кб - инфицированный. Можно ли опознать этот вирус по одному файлу? В случае необходимости есть инфицированный winlogon.exe (из оригинала вырезано 30 кб) и regedit.exe (217 кб - оригинал, 185 кб - инфицированный).
    Чуть позже предоставлю файлы из карантина.

    Добавлено через 1 час 4 минуты

    Virus.Win32.Virut.a

    Детектирование добавлено 12 май 2006 13:16 MSK
    Обновление выпущено 12 май 2006 14:05 MSK
    Описание опубликовано 27 ноя 2006
    Поведение Virus, компьютерный вирус
    Технические детали


    Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус. Размер тела — 5128 байт.

    При запуске вирус получает список процессов в системе и внедряет свой код в процесс, который находится на 4-й позиции в списке, после чего заражает и сам исполняемый файл процесса.

    Вирус заражает файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE EXE). Вирус не заражает файлы, которые содержат в своем имени одну из следующих строк:
    PSTO
    WC32
    WCUN
    WINC

    При заражении вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.

    Вирус пытается соединиться с IRC-сервером pro****.ircgalaxy.pl. Если ему это удается, то вирус принимает команды по IRC от злоумышленника и выполняет их.

    Вирус поддерживает следующие команды:
    загрузка из интернета вредоносного кода и внедрение его в процессы пользователя;
    открытие указанных URL с компьютера пользователя.

    А про источник ни слова... Как ловить, как называется исполняемый файл вируса, где может лежать... Эх...
    Последний раз редактировалось Kodji; 06.09.2007 в 15:08. Причина: Добавлено

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    как называется исполняемый файл вируса, где может лежать...
    Вы сами ответили на этот вопрос:
    вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.
    Как ловить
    См. сообщение #3.
    I am not young enough to know everything...

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\notepad.exe - Virus.Win32.Virut.n (DrWEB: Win32.Virut.5)


  • Уважаемый(ая) Kodji, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. а вдруг руткит или троянчик
      От User00 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.12.2011, 09:43
    2. Подозрение на руткит/троян
      От criz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.05.2010, 18:10
    3. Троян и руткит на компе
      От Gamil в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.04.2009, 14:59
    4. Троян/руткит
      От airatsa в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:42
    5. руткит, троян, черви...
      От Крысъ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.12.2007, 18:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00482 seconds with 23 queries