-
Junior Member
- Вес репутации
- 48
Крепкое подозрение на "ловлю" эксплойта с подсадкой бота
Здравствуйте!
Появилось подозрение, что ПК заражен какой-то дрянью.
ОС: |
Windows XP Pro SP3 с оболочкой Aston 2 |
Антивирус:
|
Nod32 v.4.2.71.3 с базой v.7544 (20121003) |
Брандмауэр: |
Comodo Firewall v.5.10 |
Браузер:
|
Opera 11.62 (Flash, JS, Java включены) |
Диспетчер файлов: |
Total Commander 7.56 (explorer не используется) |
Анамнез
Каюсь: не заметил, что в Опере по дефолту включена Java. Первые странности появились после недавней возни с установкой драйверов сканера (скачаны с оф.сайта). Система перестала реагировать на кнопку перезагрузки в меню "Пуск".
В процессе танцев с бубном с очисткой системы, проверкой реестра и т.д. Нод выловил заразу:
Код:
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache3733888257510492252.tmp - Win32/TrojanDownloader.Carberp.AJ - троянская программа - очищен удалением - изолирован - Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\CCleaner\CCleaner.exe.
Сразу же запустил сканирование ПК, обнаружилось еще несколько пакостей:
Код:
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = kikilso.class - модифицированный Java/Exploit.CVE-2012-1723.AM троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = lipricon.class - модифицированный Java/Exploit.CVE-2012-1723.BZ троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = vinnipux.class - модифицированный Java/Exploit.CVE-2012-1723.AM троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache2277164757984217407.tmp = ZIP = xuyara.class - модифицированный Java/Exploit.CVE-2012-1723.AM троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache4352108752283088948.tmp = ZIP = javax/SecretKey.class - модифицированный Java/Exploit.CVE-2012-0507.DN троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache6024523823279412440.tmp = ZIP = hw.class - модифицированный Java/Exploit.Agent.NDL троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache6026419069273413614.tmp = ZIP = javax/Mac.class - модифицированный Java/Agent.EP троянская программа
C:\Documents and Settings\Администратор\Local Settings\Temp\jar_cache6026419069273413614.tmp = ZIP = javax/SecretKey.class - модифицированный Java/Agent.EP троянская программа
После этого система стала перезагружаться по требованию, но произошли подозрительные изменения при ее запуске:
После входа в сеанс пользователя Администратор в процессе загрузки фоновых приложений появилась заметная пауза (10-15 сек.), после чего загрузка продолжалась. Это было заметно по появлению значков программ в панели индикации, при этом GUI системы не зависал. Nod запускал сканирование при загрузке только после этой паузы. Если в момент "подвисания" попытаться открыть окно антивируса - оно оказывалось пустым. Если попробовать запустить проверку файлов через контекстное меню проводника, появлялось сообщение об ошибке: "Ошибка связи с ядром". После паузы антивирус начинал работать нормально.
Один из моих динамических внешних IP обнаружился в черных списках spamhaus.org.
Перед сканированием AVZ решил почистить временные директории (для ускорения сканирования дисков). При удалении одной из папок система вылетела в BSOD, жалуясь на модуль ujm4mziy.sys.
*** STOP: 0x000000CE (0xF79AE364, 0x00000000,0xF79AE364, 0x00000000)
После перезагрузки (что интересно, загрузка после этого вылета стала проходить нормально, без пауз) вынес эту папку при помощи программы Unlocker (никаких блокирующих дескрипторов обнаружено не было).
При сканировании AVZ обнаружились файлы, которые мне кажутся зело подозрительными.
Проверку системы произвел согласно правил, файлы отчетов прилагаю.
Хотелось бы окончательно повычистить всю нечисть, ежели чего осталось. Помогите, пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rampager, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Сделайте лог полного сканирования МВАМ.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
по окончанию лечения не забудьте сменить все пароли и в AVZ выполнить стандартный скрипт №6.
Сообщение от
Rampager
Nod32 v.4.2.71.3
обновить бы надо
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
regist
Сделал. Лог во вложении. Извините, при первом сканировании проморгал диск F: и не добавил галочку. После этого проверил его отдельно, поэтому два отчета.
Сообщение от
regist
- Проведите процедуру, которая описана в первом сообщении
тут. Результат загрузки напишите в сообщении здесь.
Файл: 121004_123706_virusinfo_files_LIBER_506d82f28a215. zip (9739126 b)
MD5: b8355024de290c58cc5b3740a1a7ebce
При генерации предыдущего отчета, я забыл выключить Миранду. Если нужна и она - скажите, я пересканирую.
Некоторые файлы не удалось поместить в карантин, поэтому во вложении также прилагаю протокол сканирования (вдруг понадобится).
Сообщение от
regist
по окончанию лечения не забудьте сменить все пароли
Пароли обязательно сменю, это первое (и самое умное), что пришло мне в голову...
Сообщение от
regist
и в AVZ выполнить стандартный скрипт №6.
А это строго обязательно? Дело в том, что я сам иногда использую AVZ и его инструментарий (диспетчер процессов и т.д.) в развлекательных, так сказать, целях.
Сообщение от
regist
обновить бы надо
Сделаем!
Большое спасибо за быстрый ответ! Жду Ваших рекомендаций.
-
Сообщение от
Rampager
А это строго обязательно? Дело в том, что я сам иногда использую AVZ и его инструментарий (диспетчер процессов и т.д.) в развлекательных, так сказать, целях.
драйвер на который у вас ругалось во время BSOD принадлежит AVZ ... так что скорей для профилактике и избежания возможных конфликтов. Логи сейчас посмотрю.
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
regist
драйвер на который у вас ругалось во время BSOD принадлежит AVZ ... так что скорей для профилактике и избежания возможных конфликтов. Логи сейчас посмотрю.
Дело в том, что до совсем недавнего времени я пользовался AVZ версии 4.35 (и по-моему, перед использованием новой версии я забыл деинсталлировать его драйвер расширенного мониторинга процессов). Мне следует выполнить скрипт в обеих версиях последовательно или достаточно будет запустить его только в новейшей?
-
Удалите в MBAM только
Код:
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
-------------------------------------------------
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
- Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
tdsskiller.exe -silent -qmbr -qboot
- Запустите файл fix.bat;
- Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
- Заархивруйте эту папку с паролем virus. И virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
[*]Запустите файл TDSSKiller.exe;[*]Нажмите кнопку "Начать проверку";[*]В процессе проверки могут быть обнаружены объекты двух типов:- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
- - - Добавлено - - -
Сообщение от
Rampager
Мне следует выполнить скрипт в обеих версиях последовательно или достаточно будет запустить его только в новейшей?
только в последней, но если у вас подобных конфликтов больше не возникает можете не делать .
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
regist
Удалите в MBAM
Код:
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
Сделано
Сообщение от
regist
Заархивруйте эту папку с паролем virus. И virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Файл сохранён как: 121004_134412_virus_506d92ac7b4be.zip (179081 B)
MD5: 735a1f6bcdf33ff5453d0047877fde16
Все-таки что-то новенькое и неизведанное? Ох уж мне эти ботоводы...
Сообщение от
regist
Запустите файл TDSSKiller.exe
Сделал, тулза ни о каких новых безобразиях в процессе не сообщила.
Сообщение от
regist
Прикрепите лог утилиты к своему следующему сообщению
Прикрепляю к сообщению логи первой операции (через батник) и второй (проверки). Смотрите по дате/времени.
Сообщение от
regist
только в последней, но если у вас подобных конфликтов больше не возникает можете не делать
А что, и сделаем. Обожаю профилактические процiдурки!
Сообщение от
regist
драйвер на который у вас ругалось во время BSOD принадлежит AVZ ... так что скорей для профилактике и избежания возможных конфликтов.
Сообщение от
Rampager
При удалении одной из папок система вылетела в BSOD, жалуясь на модуль ujm4mziy.sys ... После перезагрузки (что интересно, загрузка после этого вылета стала проходить нормально, без пауз)
AVZ настолько брутален и бесчеловечен, что даже крах его драйверов заставляет вирусы ныкаться по углам...
-
всё чисто, удалите MBAM.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
-
-
Junior Member
- Вес репутации
- 48
Все ясно. Спасибо огромное за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-