NOD предупреждает, но полностью устранить не может
на одном сайте (вроде как приличный с первого взгляда) подхватил заразу через ифрейм
причем ифрейм был в теле страницы, а не в конце или вначале, что дает предположить, что сайт не был взломан трояном, а ифрейм внедрил сам хозяин сайта
не знаю можно ли здесь публиковать ссылки на этот сайт и на сам вредоносный код, поэтому пока не буду, если скажете могу опубликовать
эти ссылки отправил через форму http://z-oleg.com/secur/avz/uploadvir.php
вообще дело было так: при загрузке страницы браузер (MyIE 2) сначала завис на некоторое время, потом он слетел полностью и в это же время НОД32 выдал предупреждение:
Win32/Nuwar червь в экзешнике, который находится в темпе моего профиля - файл перемещен в карантин
и в это же время утилита AnVir предупредила что в авторан реестра добавляется еще один екзешник тоже из темпа профиля, это дествие я естественно отменил
сначала понадеялся что защита сработала но обнаружил симптомы:
открываются соединения на 80 порт различных ip адресов: 208.66.195.15, 66.232.113.80, 69.46.27.141, 67.228.160.10, 75.126.215.18
открываются по одному, т.е. если одно заблокировать в фаерволе, то открывается на другой
открываются соединения на 25 порт серверов *.mail.ru, *.google.com видимо пытается рассылать спам, благо у прова соединения на 25 порт закрыты
после перезагрузки через некоторое время появляется предупреждение винды о том что приложение НОД32 будет закрыто, но НОД32 продолжает выполняться и при первом подключении к интернету предупреждает о вирусе Win32/Wigon.BA в файле C:\windows\system32\drivers\Imp58.sys созданным приложением C:\windows\temp\BN8D0B.tmp (каждый раз другие файлы)
сканирование НОД32 ничего не выявило, скачал CureIT - обнаружены в темпе профиля зараженные load.exe, pav.exe, после их удаления теже симптомы продолжались
посмотрел логи НОД32 и обнаружил, что самый первый заблокированный им файл с Win32/Nuwar был создан приложением D:\win.exe (и НОД32, и CureIT сканировали диск D: но ничего не обнаруживали)
удалил (вернее переименовал - могу дать для опытов) этот D:\win.exe и симптоны несколько изменились - соединения на 25 порт перестали открываться, перестали появлятся предупреждения о завершении НОДа и его предупреждения о вирусе при подключении к интернету, но попытки соединения на 80 порт остались
так как у меня сервис пак был установлен поверх системы, то для ее исправления деинсталлировал сервис пак и сразу же поставил его по новой - последние симптомы остались как были
прошу посмотреть на логи и помочь исправить
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
хороший урок на тему- не нужно сидеть под админом в инете , или что будет если всё же сидеть под админом
Прекрасный набор трoянов и руткитов
Отключить нод и интернет.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
хороший урок на тему- не нужно сидеть под админом в инете
да, согласен...
карантин закачал, только в нем всего три файла, остальные типа Txb83.sys видимо мигрируют, хотя все равно файлов должно было быть больше...
во время выполнения скрипта мелькали красные ошибки, но в конце сказало, что скрипт выполнен без ошибок
+ к тому же один из этих трех файлов в карантине это D:\WebServers\etc\Run.exe (несмотря на подозрительное название, вряд ли каверзная штука, я его сам ставил, это из денвера, впрочем в карантин все равно включил, на всяких случай)
да, и C:\WebServers\etc\utils\Boot.exe это тоже из того же пакета денвер, я его сначала поставил на C:\ (видимо гдето в реестре запись осталась) а потом вручную перенес на D:\ (он нормально переносится с одного места на другое, вот я и решил на всяк случай лучше чтоб он был на D:\)
Boot.exe - это инициализация виртуального диска, который нужен для работы пакета, а Run.exe - запуск апача+пхп+мускул, ярлык на него в автозагрузку профиля я сам лично положил
Пофиксить, сам файл с диска удалить как не нужный хлам.
Сообщение от drongo
C:\WINDOWS\system32\Drivers\MASPINT.sys- ?
а avz скорируйте, если попадёт в карантин- прислать, не попадёт- значит не надо.
да еще ... только что винда выдала предупреждение что приложение НОД32 будет закрыто, нод в трее висит, отвечает нормально - т.е. либо "поправка больного" еще не совсем, либо сам нод заглючило, в принципе его можно переустановить у меня как раз версия поновее сегодня появилась
переустановить .
P.s. системы защиты должны быть всегда последней версии и с официального сайта , а про поломанные версии неизвестно откуда- забыть.
Последний раз редактировалось drongo; 27.03.2008 в 01:27.
Причина: Добавлено
Прошу прощения, я ответил в вашей теме Заработался сегодня ;-)
ага я понял, хотя сначала испугался
остальное тоже вроде бы понял нормально, только одно замечание - нод не ломанный, его и ломать то не надо так как не требуется, лицензия нужна только чтоб базы обновлять, но я базы беру в своей корпорации, а там лицензия куплена, да и ограничений на распространие их в своей локалке нету
MASPINT.sys пришлите согласно приложению 2 правил.
карантин с файлом залил
Сообщение от drongo
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll- лишнее при наличии sp2
пофиксил
Сообщение от drongo
P.S. в avz зайти в файл-мастер поиска и устранения проблем- пройтись по всем опциям и пролечить.
сделал
Сообщение от drongo
Похоже, больной пошёл на поправку
да, больше каверзные сиптомы наличия чужого не проявляются
хороший и полезный Ваш проект, хочется поблагодарить всех его участников, благородное дело Вы делаете, большое Вам спасибо, не заметил кнопочки с реквизитами, а хотелось бы внести какую небудь посильную лепту в развитие такого замечательного проекта, может она где то запрятана? в личку сбростье пожалуйста ее местоположение, а пока что скурпулезно ознакомился с интересными в контексте обсуждаемых здесь проблем ссылками яд внизу страницы, завтра еще продолжу на работе, знаю где их найти
зы. свою учетную запись лишил админ прав, советую сделать это всем серферам еще не сделавшим этого (главное не забудьте пароль от дефолтового админа )))
не заметил кнопочки с реквизитами, а хотелось бы внести какую небудь посильную лепту в развитие такого замечательного проекта, может она где то запрятана?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: