Вирус/троян через ie

Printable View

01.11.2007, 17:24
Skop

Вложений: 3

Вирус/троян через ie

Добрый день, сложилась следующая неприятная ситуация:
Вчера на сайте _http://klimanskaya.ru/_ через "iframe src='http://www.royaloakbars.com/mpack/' width=1 height=1" была подцеплена какаята неприятная зараза через ie
Симптомы были следующими - полное зависание окна эксплорера + создание на рабочем столе какого-то эезешника. Позже в диспетчере было обнаружено несколько новых процессов, один из которых назывался _scvhost.exe (именно с подчёркиванием в начале) + как в [URL="http://virusinfo.info/showthread.php?t=13769"]соседней теме[/URL] WINDOWS\Temp\startdrv.exe
При этом всё сопровождалось открытием портов с помошью iexplorer и попытки связи на какие-то адресами (через прокси, на smtp, просто прямое соединение). Всё это было видно в аутпосте, и соответственно я просто быстро создал нужные правила для блокирования + вообще запретил доступ iexplorer в сеть. Просочилось что или нет - точно не знаю, но не должно
После нескольких зачисток NOD32 и Spybot S&D основные признаки появления заразы исчезли. Из явных осталась только одна - опять же экспорер каждую секунду пытался открыть новый порт, вот выдержка из логов Аутпоста
[quote]12:01:25 iexplore.exe ИСХ БЛОКИРОВАНО TCP 208.66.194.241 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:25 iexplore.exe ИСХ БЛОКИРОВАНО TCP 67.18.114.98 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:24 iexplore.exe ИСХ БЛОКИРОВАНО TCP 208.66.194.234 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:24 iexplore.exe ИСХ БЛОКИРОВАНО TCP 66.246.252.215 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:24 iexplore.exe ИСХ БЛОКИРОВАНО TCP 66.246.252.213 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:24 iexplore.exe ИСХ БЛОКИРОВАНО TCP 208.66.194.241 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:23 iexplore.exe ИСХ БЛОКИРОВАНО TCP 67.18.114.98 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:23 iexplore.exe ИСХ БЛОКИРОВАНО TCP 66.246.72.173 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:23 iexplore.exe ИСХ БЛОКИРОВАНО TCP 208.66.194.234 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:22 iexplore.exe ИСХ БЛОКИРОВАНО TCP 208.66.194.241 HTTP Блокировать действия приложения IEXPLORE.EXE
12:01:22 iexplore.exe ИСХ БЛОКИРОВАНО TCP 66.246.252.215 HTTP Блокировать действия приложения IEXPLORE.EXE[/quote]Такая картина продолжалась постоянно, пока не была проведена проверка [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"][B]DrWeb - CureIT![/B][/URL] .

В данный момент проделал шаги из правил, и хотел бы попросить у вас помощи или совета в сложившейся ситуации (логи прилогаются)
01.11.2007, 17:47
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('Microsoft Internet Service');
QuarantineFile('D:\WINDOWS\system32\_svchost.exe','');
DeleteFile('D:\WINDOWS\system32\_svchost.exe');
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_ImportALL;
BC_QrFile('D:\WINDOWS\system32\_svchost.exe');
BC_DeleteFile('D:\WINDOWS\system32\_svchost.exe');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_QrSvc('Microsoft Internet Service');
BC_DeleteSvc('Microsoft Internet Service');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=13776"]этой[/URL] ссылке. Повторите логи.
01.11.2007, 19:20
Skop

Максим, но этих файлов уже нет в системе, архив нулевой.
Первый я удалил сразу ещё в самом начале (октлючил через диспетчер задач ProcessExplorer, и удалил), а со вторым возникли трудности - из под системы он не хотел удаляться, а безопастный режим вис + он ещё себя в автозагрузку в реестре прописал. Его я удалил с помощью волковкомандера до загрузки ОС
К сожалению не догадался сохранить эти файлы хоть где-нибуть
02.11.2007, 03:34
Muzzle

тогда повторите логи.
02.11.2007, 10:41
Skop

[quote=Muzzle;146945]тогда повторите логи.[/quote]
Так они такими же будут, логи я делал в самую последнюю очередь после всех действий которые описал. Хотел посоветоваться осталось ли что-нибуть вредное или нет
02.11.2007, 10:54
AndreyKa

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: ContextualAds Class - {3AAC4C68-AFC8-11DB-80EF-8AF955D89593} - D:\Program Files\TrustIn Contextual\trustincontext.dll (file missing)
O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
[/quote]
Перезагрузите компьютер.
Повторите лог HijackThis.
02.11.2007, 10:55
Shu_b

[QUOTE=Skop;146984]Так они такими же будут, логи я делал в самую последнюю очередь после всех действий которые описал. Хотел посоветоваться осталось ли что-нибуть вредное или нет[/QUOTE]

Так Вам и посоветовали выполнить скрипт и сделать новые логи.
Вам помощь нужна или так, побеседовать?
02.11.2007, 11:21
Skop

Вложений: 1

Shu_b
Вы хоть читали то что я написал? Побеседовать мне всегда с кем найдётся, поэтому я и "подробно описываю проблему" как советуют правила, чтобы не отвлекать по нескольку раз людей, которые помогают на этом форуме, одними и теми же логами. И скрипт я выполнил - поэтому и пишу что там ничего нет

AndreyKa
Второй ключик уже не нашёл в HijackThis
Пофиксил, лог прилагаю
02.11.2007, 11:28
Shu_b

[QUOTE=Skop;146999]...поэтому я и "подробно описываю проблему" как советуют правила, чтобы не отвлекать по нескольку раз людей, которые помогают на этом форуме, одними и теми же логами. И скрипт я выполнил - поэтому и пишу что там ничего нет...[/QUOTE]
Рекомендации даются на основании логов, поэтому не сделав новые, Вы сами препятствуете выдаче Вам рекомендаций и контроля отработки скриптов, тем самым проявляя неуважение к хелперу и его работе для Вас.
02.11.2007, 11:41
AndreyKa

Теперь все чисто.
02.11.2007, 11:43
Skop

[quote=Shu_b;147002]Рекомендации даются на основании логов, поэтому не сделав новые, Вы сами препятствуете выдаче Вам рекомендаций и контроля отработки скриптов, тем самым проявляя неуважение к хелперу и его работе для Вас.[/quote]
Всё-таки ещё раз прочитайте то, что написано выше, по моему у нас идёт конструктивная беседа, потому что моя вина в том, что я видимо недостаточно подробно объяснил ситуацию, и приходится пояснения делать по ходу помощи
Насчёт неуважения безусловно вы очень не правы, даже звание Global Moderator и огромные (я не сомневаюсь) заслуги на форуме не даёт вам право делать такие выводы на основе сообщений, которые были выше в теме

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

AndreyKa
Огромное спасибо