sanitardiska (+) Trojan.Win32.BHO.abo

Printable View

16.12.2007, 14:59
opp

Вложений: 4

sanitardiska (+) Trojan.Win32.BHO.abo

Пару дней назад из трея вылезло сообщение "Защитите свою конфиденциальность" от "sanitardiska.com". В связи с этим отправился сюда, скачал утилит и нашёл "Trojan.Win32.BHO.abo" в c:\windows\system32\olesvr3.dll.
Это уже было описано [URL="http://forum.kaspersky.com/index.php?showtopic=54783"]здесь[/URL]
и [URL="http://virusinfo.info/showthread.php?t=14943"]здесь[/URL], - взял оттуда скрипт, переделал:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{47CA5CAD-7A58-4D24-99A6-D8CB4FD7D636}');
QuarantineFile('.sys','');
StopService('ihgxiuth');
QuarantineFile('C:\WINDOWS\system32\Drivers\whjgyzbk.dat','');
DeleteFile('C:\WINDOWS\system32\Drivers\whjgyzbk.dat');
BC_ImportALL;
BC_DeleteSvc('ihgxiuth');
BC_Activate;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avzlog.txt');
RebootWindows(true);
end.
[/CODE]
и попытался выполнить - запускал два раза - он мне выдавал ругательные сообщения(см. avzlogScript.zip) (пофиксено не было) на третий убрал RebootWindows, выполнил (лог такой же), перезагрузился вручную - оказалось, что всё исправлено...(как?)

По поводу всего этого возникли вопросы:
1. Связаны ли "sanitardiska" и "Trojan.Win32.BHO.abo"?
2. Следует ли из новых логов (_after), что система чиста?

Ещё обнаружил интересную багофичу AVZ 4.29: он(больше некому) печатает в текстовом редакторе строчку "testtest...". Пока набирал это сообщение в блокноте появилась строчка
[CODE]еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуык
ееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
[/CODE] с текущей позиции курсора (был в русской раскладке). AVZ в этот момент как раз начал "эвристическую проверку системы".
Сначала подумал, что ещё какой-то вирус завёлся.:ohmy:
16.12.2007, 15:03
rubin

[code]6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка отключена пользователем
8. Поиск потенциальных уязвимостей
Проверка отключена пользователем
Проверка отключена пользователем[/code]
Логи нужно делать по правилам путем выполнения стандартных скриптов...
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAP.EXE','');
QuarantineFile('C:\WINDOWS\system32\olesvr3.dll','');
DeleteFile('C:\WINDOWS\system32\olesvr3.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите и сделайте логи по правилам
16.12.2007, 15:05
V_Bond

1 чужие скрипты использовать нельзя ...
2 не хватает одного лога ... (лечения карантина) логи нужно делать по правилам ...
3 это не баг AVZ ... так осуществляется поиск кейлогеров ...
16.12.2007, 15:08
Alex_Goodwin

1. Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\sojuscsi.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\sojubus.sys','');
QuarantineFile('.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
карантин по правилам.
16.12.2007, 16:05
opp

Вложений: 1

Сделал лог.

olesvr3.dll в virusinfo_cure.zip
sojuscsi.sys & sojubus.sys в virus.zip

E_FATIAAP.EXE в карантин почему-то так и не добавился. В логе записано, что "Выполнен карантин файла C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAP.EXE", но в списке AVZ он так и не появился...
А, вообще, это драйвер принтера от Epson, должен быть чист.
16.12.2007, 16:12
pig

[QUOTE=opp;161296]Ещё обнаружил интересную багофичу AVZ 4.29: он(больше некому) печатает в текстовом редакторе строчку "testtest...".[/QUOTE]
Это именно фича. AVZ провоцирует таким образом кейлоггеры, а вы ей мешаете их залавливать, отбирая фокус ввода.
16.12.2007, 16:33
rubin

После выполнения скриптов (моего и [b]Alex_Goodwin[/b]) - сделайте полный набор логов по правилам для проверки
16.12.2007, 17:20
opp

Вложений: 3

[QUOTE=rubin;161340]После выполнения скриптов (моего и [b]Alex_Goodwin[/b]) - сделайте полный набор логов по правилам для проверки[/QUOTE]вот
16.12.2007, 17:43
Bratez

Логи чистые.
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.
16.12.2007, 18:14
opp

[QUOTE=Bratez;161361]Логи чистые.
[/QUOTE]
Отлично, спасибо. Со службами я разберусь - нашёл неплохое описание [URL="http://www.oszone.net/display.php?id=2517"]здесь[/URL].
22.02.2009, 03:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]