VBS.PackFor - что за зверь?

1. Пришло письмо с Яндекса, где у меня есть сайт.

/index.htm : infected with VBS.PackFor
/RQDP/index.html : infected with VBS.PackFor
итд

при проверке других моих сайтов оказалось, что многие файлы
index.htm,index.htmд,index.php заражены - в начало добавлена строчка

<script language=JavaScript>function sban(x){var l=x... blah blah...
при проверке AVZ этих файлов никаких предупреждений не выдается.

означает ли это, что какой-то троян упер пароли к ftp и отредактировал эти файлы или он это сделал как-то по другому?

2. Пытался провести проверку спомощью AVZ (v 4.25 ,база от 16.06)
В какой-то момент выскакивает bsod (или что там под XP)
на котором только можно разобрать
stop 0x0000008E
fastfat.sys address F845ACE6

Пришлось загрузиться в safemode там все нормально вылечилось.


в карантине помимо прочего secdrv.sys -7680b
ksys.sys - 3712
C:\WINDOWS\Temp\startdrv.exe - 19968

Логи в безопасном не создаются?

[quote=Alex_Goodwin;116337]Логи в безопасном не создаются?[/quote]
создаются, и не один раз, поэтому последний уже пустой, все пофикшено.
из интересного только
-------
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
-------

[QUOTE]в карантине помимо прочего secdrv.sys -7680b
ksys.sys - 3712
C:\WINDOWS\Temp\startdrv.exe - 19968[/QUOTE]
несотносится с
[QUOTE]создаются, и не один раз, поэтому последний уже пустой, все пофикшено.[/QUOTE]
Давайте логи.
Почитайте статью и комментарии [QUOTE]Злобные хакеры или беспечные юзеры?
Алиса 21 февраля 2007 | 13:20 MSK
[/QUOTE] на [url]http://www.viruslist.com/ru/weblog[/url]

[quote=Alex_Goodwin;116347]несотносится с

Давайте логи.
Почитайте статью и комментарии на [URL]http://www.viruslist.com/ru/weblog[/URL][/quote]

имеется в виду avz_log.txt, а в карантине что-то есть конечно.
сейчас попробую hijack еще запустить и лог заслать.

Спасибо за ссылку, ну я так и думал, что троян через фтп правит файлы. К паролям на фтп добавил пару букв, которые буду добивать вручную к старым паролям которые вписаны в фтп клиенте.

Запостите логи по правилам [url]http://virusinfo.info/showthread.php?t=1235[/url]
По логу хайджека видны следы заражения.
Выполните пункт 2 правил в безопасном режиме.
АВЗ - AVZPM - установить - перезагрузиться, снова попытаться сделать логи.
Пофиксить:
[code]O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll (file missing)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: msssmsda- - C:\WINDOWS\System32\msssmsda.dll (file missing)
O20 - Winlogon Notify: pptp32 - C:\WINDOWS\
O20 - Winlogon Notify: pptp32- - pptp32.dll (file missing)
[/code]
Скачайте [URL="http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html"]WinsockFix[/URL], может пригодиться.

[quote=Alex_Goodwin;116350]Запостите логи по правилам [URL]http://virusinfo.info/showthread.php?t=1235[/URL]
...
[/code]
Скачайте [URL="http://www.softpedia.com/progDownload/WinSockFix-Download-15337.html"]WinsockFix[/URL], может пригодиться.[/quote]

ниасилил ;( В безопасном режиме тоже в какой-то момент выскочил bsod при выполнении первого скрипта.
Попробую вручную реестр прошерстить и пофиксить что вы сказали.
Спасибо.

Ну ситуация такая:
1. При попытке выполнить скрипты вываливается в синий экран (XP)
поэтому прислать логи не могу.
Перед тем как вывалиться успел заметить какие-то красные записи про руткит. Вообще наверное надо сохранять лог построчно, а не после завршения всей проверки. Тогда хоть следы останутся.

Это происходит также при попытке
запустить сервис AVZ "модули пространства ядра".


1.1 Прошелся drwebcure-it, нашел несколько троянов, всех поудалял.
лог есть.

2. Почикал все из реестра что смог.
Ветки сохранил, могу прислать.

3. В system32 нашел файлы со вчерашней позавчерашней датой.
sys, exe, dll. заархировал и удалил под досом.
среди них sysdrv1.exe .
Могу прислать архив.

При просмотре процессов присутствует строчка
System 4 ?? ошибка получения информации о файле
Командная строка:


чтобы еще такого сделать?

IMHO, тот случай, когда систему целесообразнее переставить, нежели лечить:
[code]Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/code]
Это не жилец по определению. Надо переставлять на SP2 + под сотню критических заплаток после.

Файлы, конечно же, пришлите. Хорошо бы ещё докопаться до поганого руткита. Хотя бы для того, чтобы опознать. Попробуйте [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url]
Если не поможет - остаётся вариант загрузки с компакт-диска или цепляния винчестера к чистой системе.

[quote=pig;116455]
...
Если не поможет - остаётся вариант загрузки с компакт-диска или цепляния винчестера к чистой системе.[/quote]

Так а толку, у меня вторая Win98 стоит на винче, я с нее грузился там все нормально. Там руткит не грузится в память , так и на диске его найти не могут, ни AVZ, ни CureIt.
Систему переставлять пока неохота, проверю еще через какое-то время.
А куда файлы переслать?

[QUOTE=diakin;116457]Так а толку, у меня вторая Win98 стоит на винче, я с нее грузился там все нормально. Там руткит не грузится в память , так и на диске его найти не могут, ни AVZ, ни CureIt.[/QUOTE]
Проверьте более продвинутым CureIt. Он, правда, только по-английски разговаривает, но видит и борет гораздо больше.

[QUOTE=diakin;116457]А куда файлы переслать?[/QUOTE]
Ссылка "Прислать запрошенные файлы" между шапкой форума и сообщениями.

[quote=pig;116458]Проверьте более продвинутым CureIt. Он, правда, только по-английски разговаривает, но видит и борет гораздо больше.


Ссылка "Прислать запрошенные файлы" между шапкой форума и сообщениями.[/quote]

Хорошо, спасибо. Файлы уже послал. Там все что было в папке system32 с новыми датами.

Прогнал новым CureIt. Говорит нашел два трояна
logonui.exe и userinit.exe. Incurable.moved - это что значит?
Посмотрел - сами файлы на месте.

[quote=diakin;116459]
...
Прогнал новым CureIt. Говорит нашел два трояна
logonui.exe и userinit.exe. Incurable.moved - это что значит?
Посмотрел - сами файлы на месте.[/quote]

У-у-у....Что-то он перестарался. Я распаковал эти файлы из дистрибутива XP - он и там нашел вирусы. Похоже false positive.

atixdaxx.dll - Trojan-Downloader.Win32.Agent.bty,
atixdbxx.sys - Trojan-Spy.Win32.Goldun.pn,
sysdrv1.exek - Trojan-PSW.Win32.LdPinch.bex

и попробуйте такой вариант создания логов
[url]http://virusinfo.info/showthread.php?p=115905#post115905[/url]

[QUOTE=diakin;116461]У-у-у....Что-то он перестарался. Я распаковал эти файлы из дистрибутива XP - он и там нашел вирусы. Похоже false positive.[/QUOTE]
Отошлите эти файлы на [url]http://support.drweb.com/sendnew/[/url]. В комментарии укажите, что попали под нож именно бета-версии. А какими словами, помимо Incurable, ругается?

Нод не стоит? Если стоит попробуйте деинсталить - логи могут создаться.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\virus\\atixdaxx.dll - [B]Trojan-Downloader.Win32.Agent.bty[/B] (DrWEB: Trojan.PWS.Finanz)[*] \\virus\\atixdbxx.sys - [B]Trojan-Spy.Win32.Goldun.pn[/B] (DrWEB: Trojan.NtRootKit.273)[*] \\virus\\sysdrv1.exe - [B]Trojan-PSW.Win32.LdPinch.ddl[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]