борьба с sanitardiska.com

Printable View

14.06.2008, 15:11
MerlinFighter

борьба с sanitardiska.com

прошу прощения, что сюда, куда запостить не знаю...

если это кому-то интерестно, то напишу что мне помогло, если не интерестно сотрите, но пожалуйста не пинайте... :)

После заражения этой заразой симптомы были такие: вакидывается окно IE с сылкой на какую-то хрень, чтоб защитить мою систему от удалённого вторжения и ещё какие-то бла-бла-бла в этом роде... Как не отвечать на предложение - по любому что-то ставит, кис 8.0 бета на тот момент молчал... Ну и началось всё веселье: сеть висит по жуткому для меня, но траффик что на приём, что на отдачу по максимуму гонит...

Заглянул я сюда, почитал похожие темы, поставил AVZ, подредактировал скрипты, которые рекомендованы под свою систему (к этому моменту уже разобрался, что эта гадость живёт в [systemroot]\system32), после этого всё затихло... ровно на полдня... опять окно санитара, я по контрол-альт-делу снимаю задачу, лезу FAR-ом в систем32, опять новые файлики... и в реестре в RUN опять прописаны...
инет виснет всё так-же (забыл упомянуть, что весь софт рекомендуемый я с работы на флешке таскал), SP3 пытается качаться со скорость 0,8 кил/с...
далее пару раз по кругу, с немного отличающимеся симптомами, более 8 часов система нормально не жила...

Что помогло: выдрал диск с виндой из компа, подоткнул к чистой машине, загрузился с неё, залез на свой диск в system32, отсортировал файлы по времени создания и грохнул всё, что появилось с момента заражения...
при загрузке на моей системе винда ругнулась на отсутствуищее элементы автозапуска, я сказал "ну и правильно", почистил реестр...

SP3 скачался на хорошей скорости, поставил, понаблюдал - уже 5 дней всё тихо... АВЗ ничего интерестного (на мой взгляд) не показывает, овертраффика никакого нет...

если кому нужны файлы которые я стёр из систем32, могу выслать архивчик, бакап оставил... :)
15.06.2008, 03:03
pig

IMHO, здесь будет лучше.
15.06.2008, 10:33
AndreyKa

[quote=MerlinFighter]если кому нужны файлы которые я стёр из систем32, могу выслать архивчик[/quote]
Вышле те из них, которые до сих пор не детектирует KIS, в zip-архиве с паролем virus по ссылке:
[url]http://virusinfo.info/upload_virus.php?tid=24582[/url]
15.06.2008, 18:44
MerlinFighter

на данный момент у меня нод32 стоит, вот лог сканирования папки с бакапом:
Дата: 15.6.2008 Время: 18:40:51
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: D:\vir\
D:\vir\clkcnt.txt - - OK
D:\vir\doamlcgu.exe - Win32/PrivacySet.B троян
D:\vir\fccdabXR.dll - - OK
D:\vir\glrpcmvu.ini - - OK
D:\vir\iboilbtx.dll - - OK
D:\vir\MRT.exe - - OK
D:\vir\nbykmbql.dll - - OK
D:\vir\qoMeETMF.dll - - OK
D:\vir\rikhiovq.dll - - OK
D:\vir\RXbadccf.ini - - OK
D:\vir\RXbadccf.ini2 - - OK
D:\vir\uvmcprlg.dll - - OK
D:\vir\wpa.dbl - - OK
D:\vir\xtbliobi.ini - - OK
Количество проверенных файлов: 14
Количество найденных вирусов: 1

что выслать?
15.06.2008, 19:21
AndreyKa

Вот это:
D:\vir\doamlcgu.exe
D:\vir\fccdabXR.dll
D:\vir\iboilbtx.dll
D:\vir\nbykmbql.dll
D:\vir\qoMeETMF.dll
D:\vir\rikhiovq.dll
D:\vir\uvmcprlg.dll
16.06.2008, 10:55
MerlinFighter

сделано...

Результат загрузкиФайл сохранён как 080616_015448_1_48560e384b80a.zip
Размер файла 773365
MD5 b29e8700060d594dc229b098358631d4

Файл закачан, спасибо!
16.06.2008, 12:53
zerocorporated

обнаружено: троянская программа Trojan.Win32.LowZones.gb
doamlcgu.exe
обнаружено: троянская программа Trojan.Win32.Monder.gen
fccdabXR.dll
обнаружено: троянская программа Trojan.Win32.Agent.rep
iboilbtx.dll
обнаружено: троянская программа Trojan.Win32.Monder.gen
nbykmbql.dll
обнаружено: троянская программа Trojan.Win32.Monder.gen
qoMeETMF.dll
обнаружено: троянская программа Trojan.Win32.Agent.reo
rikhiovq.dll
обнаружено: троянская программа Trojan.Win32.Agent.rep
uvmcprlg.dll

Это после проверки Касперским.

Вот результаты с VirusTotal:
[url]http://www.virustotal.com/ru/analisis/f2cc82538dd019726095f17e6ea98715[/url]
[url]http://www.virustotal.com/ru/analisis/336b28c3ba4d177d30ee6397847a6dd7[/url]
[url]http://www.virustotal.com/ru/analisis/81b4d670de51cac8ca63281104ffbd40[/url]
[url]http://www.virustotal.com/ru/analisis/16567c39de5995be7256fad8d797c47f[/url]
[url]http://www.virustotal.com/ru/analisis/4c6665271ed39767b389aa88bd821dfc[/url]
[url]http://www.virustotal.com/ru/analisis/f85c5fc4dd55e5e4c8a50cc18a522ba0[/url]
[url]http://www.virustotal.com/ru/analisis/7b30271907490adac813ad65c2c0d3a8[/url]
16.06.2008, 17:51
NMF

Гы... Я со своей рабочей машынки зашел на этот сайт (с виду приличный, рекламирует этот санитар как инновационное средство борьбы со шпионами и пр., кароч развод очередной)....

Интересно, оттуда че нить успело залезть? (Мне за машину не страшно, она у меня на прочистке, воровать и удалять оттуда пока что нечего).... НОД32v3 лицензионный Business Edition (базы свежие) - молчал как партизан.... Вот интересно стало... (просто я ему не доверяю, т.к. это дыра дырой, у нас пол универа с нодом стоит и я постоянно Каспером чищу всем флэшки)

ЗЫ. Завтра, наверное, скину вам логи АВЗ + и Хайджека с той машыны на всякий пожарный :)