Уже сутки мучаюсь, пытаюсь убрать из системы какойто загадочный троян, который вешается буквально на все процессы, и при обнаружении траффика пытается что-то качать из сети. С помощью netstat'a я выяснил что процессы подключаются к hs.2-209.zlkon.lv, а с помощью WireSharka (мониторилки пакетов), оказалось что это оно качает какие-то криптованные exe-шники с разных сайтов (напр. с disinfected (но параметры запроса постоянно меняются, так что в ответ поступают разные данные), или какие-то корткие данные с disinfected , и других сайтов.) Один из exe-файлов удалось обнаружить в кеше Эксплорера, при необходимости пришлю.
На всякий случай, я указал <127.0.0.1 hs.2-209.zlkon.lv> в system32/drivers/etc/hosts, но это не помогло, запросы всё равно идут, ответные данные принимаются.
Ни один антивирус, ни Каспер, ни ДрВеб, ни другие антивирусы и антиспайвары ничего не нашли. Я также не смог обнаружить ничего подозрительного ни в реестре, ни в windows/...
При моём исследовании выяснилось что троян пытается дозвониться куда-то, не-то в Австралию, не-то Новую Зеландию. К счастью, модем не подключён к сети, но на всякий случай, заблокировал сервисы Телефонии и Менеджера удалённого доступа. Однако, проблема осталась Троян всё ещё на компе, неизвестно где, присутствует при запуске буквально каждой программы, и постоянно качает что-то с сайтов с порнографическими названиями
Чуть не забыл, я также не могу загрузиться в безопасном режиме
Возможно это поможет найти проблему... После очередной перезагрузки, вылезло окошко с сообщением об ошибке WinLogon. По идее, WinLogon должен был вообще исчезнуть из памяти, однако, при открытии taskmanager'a (кстати, он не открывался на Ctrl+Alt+Del, пришлось запустить taskmgr из командной строки), оказалось что WinLogon всё ещё находится в памяти, однако он отнял 50% CPU. Но зато!! симптомы вируса исчезли!!!
Впрочем, после ещё одной перезагрузки, всё повторилось вновь, вирус на месте, по прежнему лазит по порносайтам. Я пытался перезаписать какой-то старый winlogon.exe поверх нового, перезагрузился, но как оказалось, по-прежнему не смог зайти в safe-mode.
И ещё одна проблема, не знаю, связано ли это как-то с вирусом, или что-то ещё произошло... Из task manager'a исчезло описание владельца процесса (имя пользователя, # сессии теперь не показываются).
Последний раз редактировалось Rene-gad; 01.03.2009 в 11:45.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(10);
executerepair(11);
executerepair(16);
executerepair(17);
end.
это вроде витамина - не лечит, т.к. цель лечения не обнаружена, но исправляет некоторые системные проблемы. В логах, как уже сказно, ничего подозрительного. После скрипта попробуйте загрузиться в безопасном режиме.
Спасибо, удалось загрузиться в safemode и проверить всё антивирусами в этом режиме. Оказалось что «вирусов не найдено»
Пока что я временно подменил хост к которому обращается вирус, на 127.0.0.1 (в drivers/etc/hosts), но это не решение, из-за того что вирус цепляется буквально к каждому процессу обращающемуся к инету, всё дико тормозит... Попробую ещё что-то найти, а также всё ещё надеюсь на помощь. Спасибо.
Добавлено через 38 минут
Надеюсь, это не против правил, публиковать свои наблюдения в этом посте?
Короче, при мониторинге системного реестра, оказалось что вирус устанавливает значения вроде "HRZR_EHACNGU: P:\Cebtenz Svyrf\Jvaqbjf AG\Npprffbevrf\jbeqcnq.rkr" в HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count...
Там есть и другие значение, их сотни, всё странные пути вроде P:\, Q:\, R:\ и т.д. Таких дисков на компьютере нет. Буду наблюдать дальше (увы, из-за торможения системы работать за компьюетром невозможно, придётся любыми силами найти и уничтожить этот вирус).
Добавлено через 21 минуту
С помощью ROT 13 удалось расшифровать данные которые пишутся в UserAssist.
Напр.,
P:\Cebtenz Svyrf\Gbfuvon\Oyhrgbbgu Gbfuvon Fgnpx\GbfOgZat1.rkr -- это
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
Буду исследовать дальше...
Добавлено через 5 минут
Пардон, очевидно я пошёл по ложному пути... дело вовсе не в UserAssist, его использует сам Windows...
Добавлено через 2 часа 24 минуты
После очередного перекапывания всех системных DLL'ок, реестра, сетевого траффика, вновь ни к чему не пришёл, и в отчаянии снёс SP3 и все последние обновления. После перезагрузки все симптомы вируса исчезли.
Выходные -- в 3,141 592 653 589 %%%... ( А вирь этот пришёл скорее всего по флешке, с автозапуском. Какой-то из последних патчей к винде содержал ошибку с автозапуском. Апдейт уже вышел, пойду качать, заодно со всеми остальными снесёнными обновлениями и SP3... (( Помощь наверно уже не нужна, можно закрыть тему.
Последний раз редактировалось utilmind; 01.03.2009 в 21:47.
Причина: Добавлено
Уважаемый(ая) utilmind, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Троян-downloader/dialer
Троян всё ещё на компе, неизвестно где, присутствует при запуске буквально каждой программы, и постоянно качает что-то с сайтов с порнографическими названиями
