NOD предупреждает, но полностью устранить не может

Printable View

26.03.2008, 14:45
Valdis

Вложений: 3

NOD предупреждает, но полностью устранить не может

на одном сайте (вроде как приличный с первого взгляда) подхватил заразу через ифрейм
причем ифрейм был в теле страницы, а не в конце или вначале, что дает предположить, что сайт не был взломан трояном, а ифрейм внедрил сам хозяин сайта
не знаю можно ли здесь публиковать ссылки на этот сайт и на сам вредоносный код, поэтому пока не буду, если скажете могу опубликовать
эти ссылки отправил через форму [URL]http://z-oleg.com/secur/avz/uploadvir.php[/URL]
вообще дело было так: при загрузке страницы браузер (MyIE 2) сначала завис на некоторое время, потом он слетел полностью и в это же время НОД32 выдал предупреждение:
Win32/Nuwar червь в экзешнике, который находится в темпе моего профиля - файл перемещен в карантин
и в это же время утилита AnVir предупредила что в авторан реестра добавляется еще один екзешник тоже из темпа профиля, это дествие я естественно отменил
сначала понадеялся что защита сработала но обнаружил симптомы:
открываются соединения на 80 порт различных ip адресов: 208.66.195.15, 66.232.113.80, 69.46.27.141, 67.228.160.10, 75.126.215.18
открываются по одному, т.е. если одно заблокировать в фаерволе, то открывается на другой
открываются соединения на 25 порт серверов *.mail.ru, *.google.com видимо пытается рассылать спам, благо у прова соединения на 25 порт закрыты
после перезагрузки через некоторое время появляется предупреждение винды о том что приложение НОД32 будет закрыто, но НОД32 продолжает выполняться и при первом подключении к интернету предупреждает о вирусе Win32/Wigon.BA в файле C:\windows\system32\drivers\Imp58.sys созданным приложением C:\windows\temp\BN8D0B.tmp (каждый раз другие файлы)
сканирование НОД32 ничего не выявило, скачал CureIT - обнаружены в темпе профиля зараженные load.exe, pav.exe, после их удаления теже симптомы продолжались
посмотрел логи НОД32 и обнаружил, что самый первый заблокированный им файл с Win32/Nuwar был создан приложением D:\win.exe (и НОД32, и CureIT сканировали диск D: но ничего не обнаруживали)
удалил (вернее переименовал - могу дать для опытов) этот D:\win.exe и симптоны несколько изменились - соединения на 25 порт перестали открываться, перестали появлятся предупреждения о завершении НОДа и его предупреждения о вирусе при подключении к интернету, но попытки соединения на 80 порт остались
так как у меня сервис пак был установлен поверх системы, то для ее исправления деинсталлировал сервис пак и сразу же поставил его по новой - последние симптомы остались как были
прошу посмотреть на логи и помочь исправить
26.03.2008, 15:03
Valdis

наверно, следует указать, что присланные логи - после переустановки сервис пака (есть и до переустановки, но они, видимо, не нужны)
26.03.2008, 15:18
drongo

хороший урок на тему- не нужно сидеть под админом в инете , или что будет если всё же сидеть под админом;)
Прекрасный набор трoянов и руткитов ;)
Отключить нод и интернет.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\svcchost.exe','');
QuarantineFile('C:\WINDOWS\System32\drct16.dll','');
QuarantineFile('D:\WebServers\etc\Run.exe','');
QuarantineFile('C:\WebServers\etc\utils\Boot.exe','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\vdmt16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Vae71.sys','');
SetServiceStart('Txb83', 4);
StopService('Txb83');
QuarantineFile('C:\WINDOWS\System32\drivers\Txb83.sys','');
SetServiceStart('Twa58', 4);
DeleteService('Twa58');
StopService('Twa58');
QuarantineFile('C:\WINDOWS\System32\drivers\Twa58.sys','');
SetServiceStart('Rux58', 4);
DeleteService('Rux58');
StopService('Rux58');
QuarantineFile('C:\WINDOWS\System32\drivers\Rux58.sys','');
StopService('Jmp58');
SetServiceStart('Jmp58', 4);
DeleteService('Jmp58');
QuarantineFile('C:\WINDOWS\System32\drivers\Jmp58.sys','');
StopService('Imp82');
SetServiceStart('Imp82', 4);
DeleteService('Imp82');
QuarantineFile('C:\WINDOWS\System32\drivers\Imp82.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\GVCplDrv.sys','');
StopService('Fjn58');
SetServiceStart('Fjn58', 4);
DeleteService('Fjn58');
QuarantineFile('C:\WINDOWS\System32\drivers\Fjn58.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Fjn58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Imp82.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Jmp58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Rux58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Twa58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Txb83.sys');
DeleteFile('C:\WINDOWS\System32\drivers\winlogon.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\System32\drct16.dll');
DeleteFile('C:\WINDOWS\System32\svcchost.exe');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20457[/url]
новые логи сделать.
26.03.2008, 22:52
Valdis

Вложений: 3

[quote=drongo;206969]хороший урок на тему- не нужно сидеть под админом в инете [/quote]
да, согласен...

карантин закачал, только в нем всего три файла, остальные типа Txb83.sys видимо мигрируют, хотя все равно файлов должно было быть больше...
во время выполнения скрипта мелькали красные ошибки, но в конце сказало, что скрипт выполнен без ошибок

+ к тому же один из этих трех файлов в карантине это D:\WebServers\etc\Run.exe (несмотря на подозрительное название, вряд ли каверзная штука, я его сам ставил, это из денвера, впрочем в карантин все равно включил, на всяких случай)
да, и C:\WebServers\etc\utils\Boot.exe это тоже из того же пакета денвер, я его сначала поставил на C:\ (видимо гдето в реестре запись осталась) а потом вручную перенес на D:\ (он нормально переносится с одного места на другое, вот я и решил на всяк случай лучше чтоб он был на D:\)
Boot.exe - это инициализация виртуального диска, который нужен для работы пакета, а Run.exe - запуск апача+пхп+мускул, ярлык на него в автозагрузку профиля я сам лично положил

новые логи прикрепил...
26.03.2008, 23:04
V_Bond

пофиксите ...
[code]
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('vdmt16');
QuarantineFile('C:\WINDOWS\System32\vdmt16.sys','');
BC_DeleteSvc('Vae71');
QuarantineFile('C:\WINDOWS\System32\drivers\Vae71.sys','');
BC_DeleteSvc('Uxd47');
QuarantineFile('C:\WINDOWS\System32\drivers\Uxd47.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\Uxd47.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Vae71.sys');
DeleteFile('C:\WINDOWS\System32\vdmt16.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('svcchost.exe');
BC_DeleteSvc('mousehs');
DeleteFile('C:\WINDOWS\System32\mousehs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
27.03.2008, 00:18
Valdis

Вложений: 3

пофиксил...
скрипт выполнил...
карантин залил...
логи прикрепляю...
зы: огромное спасибо за помощь
27.03.2008, 00:31
drongo

Похоже, больной пошёл на поправку ;)

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll- лишнее при наличии sp2

C:\WINDOWS\system32\Drivers\MASPINT.sys- это что будет у нас ?

P.S. в avz зайти в файл-мастер поиска и устранения проблем- пройтись по всем опциям и пролечить.
27.03.2008, 01:05
Valdis

[quote=drongo;207187]
правильно ли я понял пофиксить это ХайДжеком?[/quote]
Пофиксить, сам файл с диска удалить как не нужный хлам.

[quote=drongo;207187]C:\WINDOWS\system32\Drivers\MASPINT.sys- ?
[/quote]
а avz скорируйте, если попадёт в карантин- прислать, не попадёт- значит не надо.

[quote]
да еще ... только что винда выдала предупреждение что приложение НОД32 будет закрыто, нод в трее висит, отвечает нормально - т.е. либо "поправка больного" еще не совсем, либо сам нод заглючило, в принципе его можно переустановить у меня как раз версия поновее сегодня появилась[/quote]
переустановить .

P.s. системы защиты должны быть всегда последней версии и с официального сайта , а про поломанные версии неизвестно откуда- забыть.
27.03.2008, 01:29
drongo

Прошу прощения, я ответил в вашей теме ;) Заработался сегодня ;-)
27.03.2008, 01:42
Valdis

[quote=drongo;207199]Прошу прощения, я ответил в вашей теме ;) Заработался сегодня ;-)[/quote]
ага я понял, хотя сначала испугался ;)

остальное тоже вроде бы понял нормально, только одно замечание - нод не ломанный, его и ломать то не надо так как не требуется, лицензия нужна только чтоб базы обновлять, но я базы беру в своей корпорации, а там лицензия куплена, да и ограничений на распространие их в своей локалке нету

а вообще спасибо огромное
27.03.2008, 18:44
Valdis

наверно я все же поспешил сказать что все понял
[quote=drongo]а avz скорируйте, если попадёт в карантин- прислать, не попадёт- значит не надо.
[/quote]
что именно надо сделать с C:\WINDOWS\system32\Drivers\MASPINT.sys ?
27.03.2008, 20:28
Гриша

MASPINT.sys пришлите согласно приложению 2 правил.
28.03.2008, 01:00
Valdis

[quote=Гриша;207460]MASPINT.sys пришлите согласно приложению 2 правил.[/quote]
карантин с файлом залил
[quote=drongo;207187]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll- лишнее при наличии sp2
[/quote]
пофиксил

[quote=drongo;207187]
P.S. в avz зайти в файл-мастер поиска и устранения проблем- пройтись по всем опциям и пролечить.[/quote]

сделал

[quote=drongo;207187]Похоже, больной пошёл на поправку ;)
[/quote]
да, больше каверзные сиптомы наличия чужого не проявляются :)

хороший и полезный Ваш проект, хочется поблагодарить всех его участников, благородное дело Вы делаете, большое Вам спасибо, не заметил кнопочки с реквизитами, а хотелось бы внести какую небудь посильную лепту в развитие такого замечательного проекта, может она где то запрятана? в личку сбростье пожалуйста ее местоположение, а пока что скурпулезно ознакомился с интересными в [I]контексте[/I] обсуждаемых здесь проблем ссылками [I]яд[/I] внизу страницы, завтра еще продолжу на работе, знаю где их найти ;)

зы. свою учетную запись лишил админ прав, советую сделать это всем серферам еще не сделавшим этого ;) (главное не забудьте пароль от дефолтового админа )))
28.03.2008, 01:14
V_Bond

присланный файл чистый ...
28.03.2008, 13:24
kps

[QUOTE=Valdis;207542] не заметил кнопочки с реквизитами, а хотелось бы внести какую небудь посильную лепту в развитие такого замечательного проекта, может она где то запрятана? [/QUOTE]Поддержка проекта - [url]http://virusinfo.info/showthread.php?t=17130[/url]

Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
22.02.2009, 04:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Agent.luo[/B] (DrWEB: Trojan.DownLoader.50037)[/LIST][/LIST]