Подозрение на троян

Printable View

23.02.2008, 13:02
Shtorm

Вложений: 3

Подозрение на троян

Пару дней назад комп стал както подглючивать, при включении загрузка цп была 100%, как выяснилось его грузил рпоцесс iexplore.exe. В списке программ появилось некое seekmo, которое детектилось авз как 99 процентов перехватчик данных клавиатуры. Через анлокер было видно, что файлы из папки с сикмо прослеживают все действия таких программ как опера, icq, квип, мэйл агент и т.д. Удалить его смог только в безопасном режиме через авз. Также после этого возникли проблемы с коннектом к icq и другим подобным программам, писало что слишком много входов, реконнект через 30 минут. В списке процессов было много разной нечести, которую побил куреит, но логи к сожалению найти не могу.
Ещё забыл сказать, до этого месяца 2 назад система была вылечена от модификации пинча, но это время всё работало нормально.
Прикладываю 3 лога:
23.02.2008, 13:59
Bratez

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [SeekmoOE] C:\Program Files\Seekmo\bin\10.0.406.0\OEAddOn.exe
O4 - HKLM\..\Run: [SeekmoSA] "C:\Program Files\Seekmo\bin\10.0.406.0\SeekmoSA.exe"
O21 - SSODL: bxlrvps - {BD56A9A6-3761-4AA6-97E1-360DB8E84B8E} - C:\WINDOWS\bxlrvps.dll (file missing)
O21 - SSODL: alofkmn - {F8CAFF45-E7D7-4100-AF65-76F4DE3ACE5F} - C:\WINDOWS\alofkmn.dll
O21 - SSODL: SetupDrv - {237ef590-f7be-485a-ba3a-d8d4e6615b5d} - C:\WINDOWS\Installer\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\SetupDrv.dll
O21 - SSODL: BootBoot - {9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89} - C:\WINDOWS\Installer\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\BootBoot.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\lsass.exe','');
QuarantineFile('C:\WINDOWS\bxlrvps.dll','');
QuarantineFile('C:\WINDOWS\Installer\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\BootBoot.dll','');
QuarantineFile('C:\WINDOWS\Installer\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\SetupDrv.dll','');
QuarantineFile('C:\WINDOWS\dgtxrdfsnw.dll','');
QuarantineFile('C:\WINDOWS\alofkmn.dll','');
DeleteFile('C:\WINDOWS\alofkmn.dll');
DeleteFile('C:\WINDOWS\dgtxrdfsnw.dll');
DeleteFile('C:\WINDOWS\Installer\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\SetupDrv.dll');
DeleteFile('C:\WINDOWS\Installer\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\BootBoot.dll');
DeleteFile('C:\WINDOWS\bxlrvps.dll');
DeleteFile('C:\WINDOWS\lsass.exe');
BC_ImportALL;
BC_DeleteSvc('catchme');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18518[/url]).
ConnectionServices деинсталлируйте - это adware.
Сделайте новые логи.
23.02.2008, 15:08
Shtorm

Случайно забыл выключить антивирус во время выполнения скрипта, в конце скрипта аваст заорал что файл C:\WINDOWS\system32\Drivers\vdg4njgy.sys инфицырован вирусом Win32:Trojan-gen {Other} и продолжал так орать каждые 30 секунд. Сейчас попробую отключить антивирус и заново выполнить скрипт.
23.02.2008, 15:43
Shtorm

Вложений: 3

Скрипт выполнинл, в hijackthis пофиксил, вот новые логи:
23.02.2008, 16:14
Bratez

Все чисто. Осталось пофиксить эту строчку:
[code]
O2 - BHO: WRL Advisor - {878CA87E-BD03-4991-A1A8-A1EBEB50578F} - C:\WINDOWS\dgtxrdfsnw.dll (file missing)
[/code]

Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Какие-нибудь проблемы остались?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Кстати, а где ваш карантин? Пришлите обязательно.
23.02.2008, 17:02
Shtorm

Карантин отправил, правда в него не попал файл lsass.exe, в hijackthis пофиксил, всё ненужное из списка отключил, спасибо, система работает нормально.
24.02.2008, 00:03
rubin

[b]Trojan.Win32.ConnectionServices.o[/b] c:\program files\connectionservices\connectionservices.dll
Похоже свежие:
C:\WINDOWS\alofkmn.dll
C:\WINDOWS\dgtxrdfsnw.dll
22.02.2009, 04:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.o[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\alofkmn.dll - [B]not-a-virus:AdWare.Win32.Vapsup.bpj[/B] (DrWEB: Adware.Supa)[*] c:\\windows\\dgtxrdfsnw.dll - [B]not-a-virus:AdWare.Win32.Vapsup.bpi[/B] (DrWEB: Adware.Supa)[*] c:\\windows\\installer\\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\\setupdrv.dll - [B]Trojan-Downloader.Win32.Agent.jnw[/B] (DrWEB: Trojan.DownLoader.49287)[*] c:\\windows\\installer\\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\\bootboot.dll - [B]Trojan-Downloader.Win32.Agent.jnw[/B] (DrWEB: Trojan.DownLoader.49287)[/LIST][/LIST]