-
Junior Member
- Вес репутации
- 56
Сначала $$$-файлы, потом невидимые окна, теперь руткиты... [Trojan-Spy.Win32.Zbot.soo
]
Добрый вечер!
Все началось с того, что в каталоге Windows\Temp стали появляться файлы большого размера (10-15 мб) с расширением *.$$$, которые по сути являлись RAR-архивами с фотографиями автомобилей, пейзажей, с книгами рецептов. DrWeb ничего подозрительного не обнаруживал. Поставил Avira и сразу появились трояны Muldrop, Dropper и пр., с которыми Avira вроде успешно справлялась. Сканер DrWeb отключил. А файлы $$$ продолжали появляться. Поставил Outpost Firewall, после 2 дней поисков выяснил, что эти файлы приходят с какого-то внешнего IP и после настройки соответствующего правила все вроде нормализовалось. Правда трояны эти не давали покоя. Нет, больше они не появлялись, просто я был удивлен, что Веб их не находил (с последними обновлениями), а Avira сразу ловила. Причем несколько раз успешно перехватывала появление какого-то файла bug.exe. Потом поставил A-Squared Free (ну никак не мог смириться с троянами), и он нашел какую-то подозрительность в файле WMKeeper.dll, который почему-то остался после удаления этой программы (что-то про WebMoney). Удалить файл не получилось, т.к. он оказался использованным сразу пости 20 приложениями, среди которых Opera, Torrent, Avira, Outpost и еще много всяких!!! Unlocker'ом я эти процессы отвязал и файл удалил. И вот с того момента и начались чудеса... Интернет не работает, торрент не запускается, файл справки не появляется, хотя все эти приложения показывались запущенными в менеджере задач. Интернет кстати не работал как-то по-особенному - адрес пишу, жму Enter и ничего не происходит, даже Outpost не ловит никакие HTTP-запросы. После этого я запустил AVZ с последними обновлениями (как-то чудом догадался скачать до того, как сломается интернет). Он сразу нашел кучу руткитов в user32.dll, причем имена функций явно связаны с отображением окон. Все ошибки AVZ исправил и я, не перезагружаясь, сразу смог запустить оперу, торрент, вышел в интернет. Полная проверка AVZ приводила к его зависанию, как выяснил позже из-за Outpost. Удалил его. Скачал CureIt, который в safemode нашел Trojan.Mycentria.8 и успешно удалил. Теперь без Outpost снова получаю эти $$$-файлы, и AVZ по-прежнему находит руткиты то в kernel32.dll, то в wininet.dll... Как быть?
---
Marcello
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\spool32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Tppwrif.sys','');
DeleteFile('C:\WINDOWS\system32\spool32.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36737
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 56
дальше этой строчки выполнение не идет:
QuarantineFile('C:\WINDOWS\system32\spool32.exe',' ');
пишет "ошибка при выполнении антируткита".
может прислать карантин с одним файлом? в system32 он разумеется остался...
может этот spool32.exe попробовать удалить вручную в SafeMode?
-
Уберите эту строчку из скрипта:
Код:
SearchRootkit(true, true);
-
-
Junior Member
- Вес репутации
- 56
Убирание строчки не помогло. Зависание было в том же самом месте. Переставил местами карантинные файлы - сначала драйвер, потом spool32.exe - все получилось. Карантин загрузил к теме. А вот повторные логи не получаются. Стандартный скрипт №3 зависает с такой ошибкой:
c:\windows\system32\cpadvai.dll -> Подозрение на троянскую DLL
c:\windows\system32\cpadvai.dll >>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\cpadvai.dll)
Карантин с использованием прямого чтения - ошибка
Самого файла cpadvai.dll в указанном месте я не вижу. Как быть?
-
Junior Member
- Вес репутации
- 56
Не с первого раза, но все же удалось собрать логи. Есть ли еще что-то подозрительное в них? А в карантине?
-
Junior Member
- Вес репутации
- 56
посмотрите логи, пожалуйста
Добавлено через 3 часа 52 минуты
up
Добавлено через 3 часа 35 минут
Хелперы, что с логами?
Последний раз редактировалось Marcello; 06.01.2009 в 18:16.
Причина: Добавлено
-
Пришлите этот файл Tppwrif.sys согласно приложению 2 правил...
-
-
Junior Member
- Вес репутации
- 56
Этот файл вместе с spool32.exe был в присланном карантине. Повторить еще раз?
-
-
-
Junior Member
- Вес репутации
- 56
отправил
Файл сохранён как 090106_204246_virus_49639816ee940.zip
Размер файла 1686
MD5 2d68e07115ed9ccf4eb0020aea76bca2
-
Подождем ответа аналитиков...
-
-
Junior Member
- Вес репутации
- 56
А в остальном логи чистые? Проблемы-то пропали, т.е. $$$-файлы больше не появляются в Temp. И еще вопрос - откуда мог взяться этот spool32.exe в системе? И почему Dr.Web его просмотрел?
-
А в остальном: всё хорошо, всё хорошо.(c)
Откуда:из интернета вестимо Вот почему? Потому что права были на запись Не гуляйте под админом в инете и не будут появятся в системной папке вирусы, не зависимо от того, знает ли ваш антивирус на данный момент определённого зверя или нет.
Вот:http://virusinfo.info/showthread.php?t=30339
-
-
TPPWRIF.SYS
Вредоносный код в файле не обнаружен.
-
-
Junior Member
- Вес репутации
- 56
2 drongo:
Мой аккаунт действительно админский... Создал еще одного админа и у первого установил права пользователя. И теперь многие приложения под первым аккаунтом перестали запускаться. Как мне их теперь заставить работать? Скажите, где про такую настройку прочитать можно? Или без переустановки не обойтись? Сорри за оффтоп...
2 Гриша: спасибо
-
запускайте от имени администратора. Правой кнопкой мыши.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\spool32.exe - Trojan.Win32.Monder.aaxz (DrWEB: Trojan.Inject.5420)
-