Есть троян

Printable View

24.03.2008, 13:28
So10

Вложений: 3

Есть троян

То что чтото не так я понял из активности двух экранов в трее когда ее не должно быть и увеличения трафика.
После долгих попыток победить троян пришел к следующему:
Отчет в Анти-хакер Касперского:
24.03.2008 12:17:58 C:\WINDOWS\system32\winlogon.exe Запретить любую TCP-активность с указанным адресом 608 заблокировано Исходящее TCP 69.46.27.141 80 127.0.0.1 1582
24.03.2008 12:18:03 C:\WINDOWS\system32\winlogon.exe Запретить любую TCP-активность с указанным адресом 608 заблокировано Исходящее TCP 66.232.113.80 80 127.0.0.1 1583
24.03.2008 12:18:08 C:\WINDOWS\system32\winlogon.exe Запретить любую TCP-активность с указанным адресом 608 заблокировано Исходящее TCP 67.228.160.10 80 127.0.0.1 1584

Такие тройные попытки соединения это приложение делает каждые 20 секунд.Все что смог сделать запретить любую активность.
24.03.2008, 13:44
drongo

А зачем вам 2 экрана?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\METATR~1\terminal.exe','');
QuarantineFile('C:\Program Files\WebMoney Advisor\wmadvisor.dll','');
QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
QuarantineFile('C:\WINDOWS\DEEPSP~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\sessmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wek63.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
QuarantineFile('C:\WINDOWS\system32\p2001.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20343[/url]
24.03.2008, 14:09
PavelA

[QUOTE=drongo;206222]А зачем вам 2 экрана?
[/QUOTE]

Думаю, что это "Сетевое подключение" так назвали. ;)
24.03.2008, 14:27
So10

"Думаю, что это "Сетевое подключение" так назвали. "
Абсолютно точно)
Вот сейчас загружаю архив 2,6 Мб
Это для Вас нормально?
И кажется я начал его загружать не авторизовавшись
Но посмотрим
Загрузил вроде
Но не уверен что успешно,что скажете?
24.03.2008, 22:28
Alex_Goodwin

Карантин получен.
Повторите логи.
25.03.2008, 00:59
So10

Простите,что значит повторить логи?
25.03.2008, 01:07
wise-wistful

Сделать как впервый раз исследование системы АВЗ и HJT. И выложить новые 3 лога, т.е. virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log.
25.03.2008, 09:22
So10

Вложений: 3

Новые логи

Это понятно.
Троян сожрал мой месячный лимит трафика,так что может я пока исчезну,но Вы не вычеркивайте меня из списка живих)
25.03.2008, 10:33
PavelA

Извините, что не смогли Вам быстро помочь.
То, что попало в карантин:
WLCtrl32.dll - Trojan-Downloader.Win32.Agent.luo (по Касперскому)

Готовьтесь к серьезному лечению.

Скачать: [url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
25.03.2008, 10:55
So10

Спасибо Вам что Вы помогаете и с терпением относитесь к нашим проблемам.
Скачал приложение.
Разархивировал в отдельную папку.
25.03.2008, 11:06
PavelA

Запустить "китайский меч", в окно найти:
'C:\WINDOWS\system32\Drivers\Wek63.sys','WLCtrl32.dll', нажать force delete, подтвердить Ок.

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\a347bus.sys','');
QuarantineFile('C:\WINDOWS\DEEPSP~1.SCR','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wek63.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Wek63.sys');
DeleteFile('WLCtrl32.dll');
DelWinlogonNotifyByFileName('WLCtrl32.dll');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);

end.[/CODE]

Сделать новые логи, начиная с п.10.
Загрузить карантин через ссылку вверху темы.
02.04.2008, 10:13
So10

Вложений: 3

Здравствуйте)
Я опять в деле.
Предложенные действия привели к удалению файлов.
Вредоносной активности не наблюдается.
Но,как и требовалось загружаю логи и карантин
02.04.2008, 10:19
V_Bond

в логах ничего подозрительного
02.04.2008, 10:39
PavelA

DEEPSP~1.SCR_, Deep_Space_Complete.scr_, nwiz.exe_, SiKernel.dll,
terminal.exe_

Вредоносный код в файлах не обнаружен.
03.04.2008, 08:50
So10

Спасибо Вам всем .
03.04.2008, 08:57
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 04:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]65[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Agent.luo[/B] (DrWEB: Trojan.DownLoader.50037)[/LIST][/LIST]