-
win32/TrojanClicker.Small.KJ
Доктор Вев егоу меня не увидел вапще, нод-32 опознал, но удалить не может.AdAware не видит, Spybot 1.3. находит 4-5 веток в реестре, правит и тут же находит их созданными заново.
логи:
Logfile of HijackThis v1.99.1
Scan saved at 12:38:17, on 22.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\totalcmd\TOTALCMD.EXE
c:\hj\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ya.ru/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.21.1:8038
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 192.168.21.*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mp4: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{33FE38AA-E24F-471F-8D35-F7C46BCEFA32}: NameServer = 195.38.32.2,195.38.33.2,192.168.21.3
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Протоколы в архиве нужно прикреплять к сообщению, согласно правилам. В таком виде их сложно смотреть специалистам.
-
-
я поторопился-перенервничал и не прикрепил архивы сразу, а фукции добавить вложение при правке я не нашел потому делаю как все в росии - "стоя в гамаке на лыжах":
http://slil.ru/23153052 - тут в архиве лежит инфицированный dll-файл трояна
http://slil.ru/23153058 - это virusinfo_syscheck.zip
http://slil.ru/23153065 - это virusinfo_syscure.zip
Прошу прощения за мою невнимательность...
-
-
-
-
Всеравно логи не по правилам ... но тем не менее доступны.
Значит так, нужно согласно правилам прислать для анализа файлы:
c:\windows\service32.exe
C:\WINDOWS\syst32.dll
C:\WINDOWS\system32\drivers\sbfshook.sys
CTHELPER.EXE
-
-
Сообщение от
Зайцев Олег
Всеравно логи не по правилам ... но тем не менее доступны.
Значит так, нужно согласно правилам прислать для анализа файлы:
c:\windows\service32.exe
C:\WINDOWS\syst32.dll
C:\WINDOWS\system32\drivers\sbfshook.sys
CTHELPER.EXE
Результат загрузки
Файл сохранён как060923_145953_virus_451584298421b.zipРазмер файла25941MD5fd6efb919634624fc2dd3b0b1db13aacФайл закачан, спасибо!
-
-
Сообщение от
Lurker01
Файл сохранён как060923_145953_virus_451584298421b.zip
файлы C:\WINDOWS\syst32.dll и C:\WINDOWS\CTHELPER.EXE так и не добавились - противодействие руткитам включали? попробуйте повторить добавление этих файлов в карантин и прислать нам.
файл c:\windows\service32.exe - троянская программа, удаляйте его (можно с помощью отложенного удаления из AVZ).
-
-
Файл сохранён как060924_022104_virus_451623d0c7d18.zipРазмер файла2447MD5cc3d91f96861394e85d73f2c55ce1c85
---------
Процесс добавления файлов запущен
Файл C:\WINDOWS\syst32.dll добавлен в карантин
Процесс добавления файлов завершен
В карантине C:\WINDOWS\CTHELPER.EXE занимает 0 байт
в сейф моде стер файлы.
service32.exe и syst32.dll
--- Spybot - Search && Destroy version: 1.3 --- выдал вот что:
--- Search result list ---
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-21-117609710-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\0\1004!=W=3
--------
после удаления файлов service32.exe и syst32.dll сообщения о трояне исчезли (тьфу-тьфу-тьфу). страно лишь то, что троян страется только ручным методом
-------------
после стирания в сейф моде запустил AVZ:
ротокол антивирусной утилиты AVZ версии 4.20
Сканирование запущено в 24.09.2006 12:03:39
Загружена база: 41561 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 13.09.2006 12:05
Загружены микропрограммы эвристики: 360
Загружены цифровые подписи системных файлов: 51546
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Система загружена в режиме защиты от сбоев (SafeMode)
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 150
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
Прямое чтение C:\Documents and Settings\NetworkService\NTUSER.DAT
Прямое чтение C:\Documents and Settings\NetworkService\ntuser.dat.LOG
Прямое чтение C:\Documents and Settings\UFO\Cookies\index.dat
Прямое чтение C:\Documents and Settings\UFO\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\UFO\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
Прямое чтение C:\Documents and Settings\UFO\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\UFO\Local Settings\History\History.IE5\MSHist012006092420060 925\index.dat
Прямое чтение C:\Documents and Settings\UFO\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\UFO\NTUSER.DAT
Прямое чтение C:\Documents and Settings\UFO\ntuser.dat.LOG
Прямое чтение C:\WINDOWS\system32\CatRoot2\edb.log
Прямое чтение C:\WINDOWS\system32\CatRoot2\tmp.edb
Прямое чтение C:\WINDOWS\system32\config\AppEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\default
Прямое чтение C:\WINDOWS\system32\config\default.LOG
Прямое чтение C:\WINDOWS\system32\config\SAM
Прямое чтение C:\WINDOWS\system32\config\SecEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\SECURITY
Прямое чтение C:\WINDOWS\system32\config\SECURITY.LOG
Прямое чтение C:\WINDOWS\system32\config\software
Прямое чтение C:\WINDOWS\system32\config\software.LOG
Прямое чтение C:\WINDOWS\system32\config\SysEvent.Evt
Прямое чтение C:\WINDOWS\system32\config\system
Прямое чтение C:\WINDOWS\system32\config\system.LOG
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd6925.sys
Прямое чтение C:\WINDOWS\system32\drivers\vaxscsi.sys
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A
Прямое чтение C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 0 TCP портов и 0 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 122077, извлечено из архивов: 89027, найдено вредоносных программ 0
Сканирование завершено в 24.09.2006 12:19:09
Сканирование длилось 00:15:30
-
-
Требуеться сдетаь все логи в нормальном режиме ещё раз по правилам , а не так !!!, чтобы удостовериться
-