Trojan.Popuper.6943(Dr.Web) и вероятно что-то ещё...

Нашел через исохант(isohunt.com) торрент с "Real.VNC.Enterprise.Edition.v4.4.1.WinAll", как в последствии оказалось сам установочный файл программы RealVNC из этого [URL="http://isohunt.com/torrent_details/46037115/VNC?tab=summary"]торрента[/URL](вообще там находится 2 торрента с одинаковым названием, тут речь ведётся о том, который по весу чуть больше) оказался зараженным(о чём я узнал только после того, как запустил его, насколько я помню я даже проверил его на virustotal.com).
Через некоторое время после запуска зараженного файла я получил вот такой вот попап:
[QUOTE]---------------------------
System Error!
---------------------------
Attention, [USERNAME]! Some dangerous trojan horses detected in your system. Microsoft Windows Server 2003 files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!

Click OK to download the antispyware. (Recommended)
---------------------------
Yes No
---------------------------[/QUOTE]Где [USERNAME] было имя на которое зарегана венда(в "System Properties > General > Registered to:" которое отображается).
Естественно на кнопочки я тут не жал...

Окошко это имело табу в таскбаре с эконкой обычной папки... И судя всему этот вирь каким-то образом прикрутился к эксплореру, т.к. в списке процессов ничего не обычного не было, а при попытке убить именно это окошко(оно отображалось в Applications) вместе с ним помер эхплорер.
В общем после этого я пошел качать "Dr.Web Cure-It!", avz и HiJack This...
Dr.Web при скане системы в сэйф моде собственно и нашел дллку или сиску(уже забыл, что именно) которую он обозвал "Trojan.Popuper.6943"(пара циферок могут быть перепутаны, но маловероятно) и благополучно удалил её, больше ничего подозрительного он не нашел, полную проверку проводить не стал, т.к. это заняло бы несколько дней.

Так же имеются подозрения, что не только эта гадость сидела в вышеупомянутом файлике, о том, что она не до конца убилась и что до неё в системе могло уже что-то ещё сидеть.

Вот кстати лог скана того самого файлика: [url]http://www.virustotal.com/analisis/4253d746c761b392167e6c7068b907c6[/url]
всего пару часов назад только 3 или 4 антивиря пискнули, что мол что-то подозрительное, а сейчас уже 5...

Update: P.S. Попытался отправить эту гадость Dr.Web'овцам, но через веб форму не проходит, т.к. файл больше 5 метров весом, а как по другому прислать им вирус инфу найти не смог, даже поском по их форуму быстренько пробежался... =\

-ну, если честно, то в логах особо в глаза ничего не кинулось... скачал [B]vnc-E4_4_1-x86_x64_win32.exe[/B] сейчас попробую посмотреть какой в нём зверь сидит, а пока, если лишний раз перегружать систему не влом, выполните в AVZ [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\RivaTuner\RivaTuner32.sys');
BC_QrFile('C:\WINDOWS\system32\ckldrv.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\acrchs1w.SYS');
BC_QrFile('C:\WINDOWS\System32\tscupgrd.exe');
BC_QrFile('C:\WINDOWS\system32\Drivers\sptd.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\Maestro1.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]...после ребута карантин перешлите по красной ссылке, той что вверху страницы.

Вебовцам еще можно почтой отправлять файлы.
Вот здесь посмотрите [url]http://virusinfo.info/showpost.php?p=71131&postcount=10[/url]
Хоть это не так надежно (антиспам может порезать или еще что..)

Перезагружаться конечно не хочется, ко как-то с вирями и троянами ползающими внутри системы жить хочется ещё меньше...

Карантин:
[CODE]Файл сохранён как 080627_113616_2008-06-27_48651700d5c44.zip
Размер файла 639606
MD5 12bb2051df5271d3e517057be40a85e1[/CODE]

C:\WINDOWS\system32\drivers\Maestro1.sys - Файлик от экранной клавиатуры, насколько я помню...(точно не уверен)
C:\WINDOWS\system32\Drivers\sptd.sys - это, насколько я помню, драйвера виртуальных сидюков от Daemon Tools
C:\RivaTuner\RivaTuner32.sys - собсвтенно какой-то драйвер рива тюнера, насколько я помню он нужен для разгона видюхи не через драйвера самой видюхи или для более точного определения текущих частот.
C:\WINDOWS\system32\ckldrv.sys - насколько я помню драва от звуковухи...
Что есть остальные два не припоминаю...

[b]Kuzz[/b], спасибо за информацию, про то, что им можно почтой присылать я наю, как-то раз присылал, но было очень давно, а вот сейчас инфу эту найти не смог и не был уверен, что у них ещё работает этот сервис.

Update: Отправил им этот файл, с кратким описанием, ссылкой на торрент, на вирусинфо и сюда.

Update2: Этот Trojan.Popuper.6943 изменил по крайней мере 2 настройки эксполрера(не тот который ie):
1) Folder Options > General > Browse Folders (установил на "Open each folder in its own window")
2) Folder Options > View > Advanced Options (убрал галку с "Display the full path in the title bar")
Как я подозреваю делал он спои "попапы" из обычных окон эксплорера, и в новых окнах он их мог показывать только с условием изменения первой настройки, а без второй он видимо никак не мог сделать заголовок окна более-менее похожим на сообщение об ошибке.

-ну, если помните и уверены... остаётся только [B]tscupgrd.exe[/B] остальное можно из лога исключить, ну, а если и это вспомните, то тогда и перегружать нечего ;)
-ваша софтина добавляет в Автозапуск [B]C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 C:\DOCUME~1\USER\LOCALS~1\Temp\IXP000.TMP\[/B] и надстройку IE [B]C:\WINDOWS\system32\f_system.dll[/B]

Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и [code]?,ошибка получения информации о файле
Командная строка:[/code] в информации
Это что может быть?

И система времянами подозрительно много памяти кушает, вроде как процессов нет которые особо сильно память кушают, а система постоянно свопится, если верить таск мэнэджеру то система кушает где-то 200 метров оперативки(хотя убита большая часть ненужных сервисов, отключена всякая анимация, эффекты и прочее, используется классический вид десктопа), процессы ещё 120, свободно 180, а венда постоянно свопится...

[QUOTE='Shadow[13];247787']Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и [code]?,ошибка получения информации о файле
Командная строка:[/code] в информации
Это что может быть?
[/QUOTE]
Если включен AVZPM, то на Windows2003 такое очень часто наблюдается.
Это особенности обработки хендлов процессов данной системой.
Бывает чаще всего при наличии веб-сервера (драйвера некоторых принтеров могут также содержать такие компоненты)

[quote='Shadow[13];247787']Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и [code]?,ошибка получения информации о файле
Командная строка:[/code] в информации
Это что может быть? ...[/quote]-возможно, дело в самой ОС [url]http://z-oleg.com/secur/avz_doc/faq_14.htm[/url]

[quote='Shadow[13];247787'] И система времянами подозрительно много памяти кушает, вроде как процессов нет которые особо сильно память кушают, а система постоянно свопится, если верить таск мэнэджеру то система кушает где-то 200 метров оперативки(хотя убита большая часть ненужных сервисов, отключена всякая анимация, эффекты и прочее, используется классический вид десктопа), процессы ещё 120, свободно 180, а венда постоянно свопится...[/quote]-в этой связи очень хотелось на [B]acrchs1w.SYS[/B] посмотреть, а он как на зло в карантин не попал... а вот [B]f_system.dll [/B]имеет все шансы на удаление, тот который выудился у меня выглядит не очень респектабельным [url]http://www.virustotal.com/ru/analisis/e71c52ad186e027fdda2ab2bd69a6906[/url]
по сему выполнить в AVZ [CODE]begin
QuarantineFile('C:\WINDOWS\system32\f_system.dll','');
end.[/CODE] ..и перешлите карантин, Вы уже знаете, по красной ссылке, той что вверху страницы

[QUOTE=Kuzz;247801]Если включен AVZPM, то на Windows2003 такое очень часто наблюдается.
Это особенности обработки хендлов процессов данной системой.
Бывает чаще всего при наличии веб-сервера (драйвера некоторых принтеров могут также содержать такие компоненты)[/QUOTE]
принтера у меня нет, драйверов для него тоже нет, мало того, даже запрещено добавлять новые принтеры, запуск принт спулера и прочего связанного с принетом в сервисах и через gpedit.msc
никаких веб-серверов у меня так же нет.

[QUOTE=Alex Plutoff;247808]-в этой связи очень хотелось на [B]acrchs1w.SYS[/B] посмотреть, а он как на зло в карантин не попал...[/QUOTE]
Гмм... может быть ещё раз логи сделать? По какой причине он не попал в карантин я не знаю :(

[QUOTE=Alex Plutoff;247808]а вот [B]f_system.dll [/B]имеет все шансы на удаление, тот который выудился у меня выглядит не очень респектабельным [url]http://www.virustotal.com/ru/analisis/e71c52ad186e027fdda2ab2bd69a6906[/url]
по сему выполнить в AVZ [CODE]begin
QuarantineFile('C:\WINDOWS\system32\f_system.dll','');
end.[/CODE] ..и перешлите карантин, Вы уже знаете, по красной ссылке, той что вверху страницы[/QUOTE]
[IMG]http://img234.imageshack.us/img234/4756/avzzx3.png[/IMG]

P.S.На всякий случай:
[URL="http://img161.imageshack.us/img161/3997/procrw4.png"]Tasklist + Task Manager(Perfomance tab) - 29 KB[/URL]
[URL="http://img120.imageshack.us/img120/8057/svcgn2.png"]Services - 33 KB[/URL]
Если надо могу инфу о железе, дравах, установленном софте, логи системы(45847 эвентов) с момента установки(07.02.07) и пр. предоставить...

[quote='Shadow[13];247838']...
Гмм... может быть ещё раз логи сделать? По какой причине он не попал в карантин я не знаю :([/quote]-пожалуй, но не меню Файл > Стандартные скрипты, а так: AVZPM > Установить драйвер расширенного мониторинга процессов и затем Файл > Исследование системы

[quote='Shadow[13];247838']...
[IMG]http://img234.imageshack.us/img234/4756/avzzx3.png[/IMG]
...[/quote]-попробуйте вручную: AVZ > Сервис > Поиск файлов на диске и поищите в C:\WINDOWS\system32 файл [B]f_*.dll[/B]

[QUOTE=Alex Plutoff;247845]-пожалуй, но не меню Файл > Стандартные скрипты, а так: AVZPM > Установить драйвер расширенного мониторинга процессов и затем Файл > Исследование системы[/QUOTE]
AVZPM в принципе был и так установлен... выгрузил и удалил драйвер, ещё раз обновил базы AVZ, по новой установил драйвер и сделал лог(со всеми подробностями на всякий случай).
[QUOTE=Alex Plutoff;247845]-попробуйте вручную: AVZ > Сервис > Поиск файлов на диске и поищите в C:\WINDOWS\system32 файл [B]f_*.dll[/B][/QUOTE]Не нашел ничего...

-наверно нужно поспать :>
...от лога к логу :O
C:\WINDOWS\System32\Drivers\acrchs1w.SYS
C:\WINDOWS\System32\Drivers\a6eajsph.SYS
C:\WINDOWS\System32\Drivers\an6re4yy.SYS

P.S. -все єти надстройки IE C:\WINDOWS\system32\f_*.dll именуются, как [B]WinView plugin[/B]... наверное есть смысл посмотреть в IE > Сервис > Свойства обозревателя > Программы > Надстройки на предмет наличия оных

[QUOTE=Alex Plutoff;247880]-наверно нужно поспать :>
...от лога к логу :O
C:\WINDOWS\System32\Drivers\acrchs1w.SYS
C:\WINDOWS\System32\Drivers\a6eajsph.SYS
C:\WINDOWS\System32\Drivers\an6re4yy.SYS[/QUOTE]
Насчёт поспать - хорошая идея...
Эти файлы кстати не находятся поиском... :)
Что всётаки с этим делать?
[QUOTE=Alex Plutoff;247880]P.S. -все єти надстройки IE C:\WINDOWS\system32\f_*.dll именуются, как [B]WinView plugin[/B]... наверное есть смысл посмотреть в IE > Сервис > Свойства обозревателя > Программы > Надстройки на предмет наличия оных[/QUOTE]
Никаких f_*.dll поиском(разумеется поиск ищет и среди "скрытых" файлов и среди системных и пр.) в папке windows найдено не было...
Вот паззл-скриншот из настрое IE: [url]http://img134.imageshack.us/img134/7512/iefj9.png[/url]
Пришлось из 4 скринов собирать =)

P.S. Версия IE на всякий случай: 6.0.3790.3959
В принципе я им вообще не пользуюсь и если буду переставлять ОС я скорее всего предварительно удалю его из дистрибутива(кстати, как тогда быть при создании логов для этого раздела?)...
P.P.S. Кстати, можно логи сравнить с логами сделанными пол года назад, у меня тогда с beagle были проблемы: [url]http://virusinfo.info/showthread.php?t=14828[/url]
систему я не переставлял, особо сильно в системе по идее тоже не изменилось(ну несколько заплаток новых и пара софтин)...

-в старых логах тоже фигурируют очень похожие объекты
\SystemRoot\System32\Drivers\az59ahmt.SYS
\SystemRoot\System32\Drivers\arlh3k23.SYS
...нужно полагать, что это так DAEMON изголяется :)
-ну, а по поводу отсутствия надстройки [B]WinView plugin[/B] C:\WINDOWS\system32\f_*.dll, думаю, тоже особо париться нечего, возможно это именно её Cure-It! прихлопнул...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 29 минут[/I][/B][/color][/size]

-теперь немного об самом [B]VNC Setup (vnc-E4_4_1-x86_x64_win32.exe)[/B]... это SFX CAB контейнер, содержащий два исполняемых модуля, вредоносный - [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL] и чистый - vnc-E4_4_1-x86_x64_win32.exe
-после распаковки контейнера запускается [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL], стараниями которого и получаем IE-надстройку [URL="http://www.virustotal.com/ru/analisis/e71c52ad186e027fdda2ab2bd69a6906"]WinView plugin[/URL], которая в свою очередь помогает показать окошко 'System Error!'(ещё что-то и подгружать может), ну и наконец, скрывает всё это безобразие, порожденный всё тем же [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL] cmd-сценарий[QUOTE]:loop
del "C:\Documents and Settings\[USERNAME]\Local Settings\Temp\IXP001.TMP\explorer.exe"
if exist "C:\Documents and Settings\[USERNAME]\Local Settings\Temp\IXP001.TMP\explorer.exe" goto loop
del C:\DOCUME~1\[USERNAME]\LOCALS~1\Temp\dcp.cmd[/QUOTE]...и уже только после этого запускается VNC Setup

P.S.-для того что бы безопасно установить RealVNC, достаточно распаковать SFX-архив в отдельную папку и удалить вредоносный - [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL], и запустить желанный VNC Setup 8)

Спасибо!
[QUOTE=Alex Plutoff;247922]-в старых логах тоже фигурируют очень похожие объекты
\SystemRoot\System32\Drivers\az59ahmt.SYS
\SystemRoot\System32\Drivers\arlh3k23.SYS
...нужно полагать, что это так DAEMON изголяется :)[/QUOTE]
В прицнипе вполне вероятно, что это действительно демонтулс изгаляется, но смысла я в этом не вижу, от чего он таким образом ныкается?
[QUOTE=Alex Plutoff;247922]-ну, а по поводу отсутствия надстройки [B]WinView plugin[/B] C:\WINDOWS\system32\f_*.dll, думаю, тоже особо париться нечего, возможно это именно её Cure-It! прихлопнул...[/QUOTE]
Вероятно оно так и есть, Cure-It! убил только 1 файл, это была ДЛЛка, вот названия я, к сожалению, уже даже примерно вспомнить немогу...


[QUOTE=Alex Plutoff;247922]-теперь немного об самом [B]VNC Setup (vnc-E4_4_1-x86_x64_win32.exe)[/B]... это SFX CAB контейнер, содержащий два исполняемых модуля, вредоносный - [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL] и чистый - vnc-E4_4_1-x86_x64_win32.exe
-после распаковки контейнера запускается [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL], стараниями которого и получаем IE-надстройку [URL="http://www.virustotal.com/ru/analisis/e71c52ad186e027fdda2ab2bd69a6906"]WinView plugin[/URL], которая в свою очередь помогает показать окошко 'System Error!'(ещё что-то и подгружать может), ну и наконец, скрывает всё это безобразие, порожденный всё тем же [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL] cmd-сценарий...и уже только после этого запускается VNC Setup

P.S.-для того что бы безопасно установить RealVNC, достаточно распаковать SFX-архив в отдельную папку и удалить вредоносный - [URL="http://www.virustotal.com/ru/analisis/9c3f13e1c346e88ef0ce0b88fdb0a250"]explorer.exe[/URL], и запустить желанный VNC Setup 8)[/QUOTE]
Ну после запуска зараженного файла он собственно только куша оперативку, пока я его не пребил, никакой установки он не запустил...
Спасибо, но я уже успел скачать такой же торрент, только без этого попапера(кстати у зараженного и чистого файла отличаются только небольшие куски в начале), ещё более новую версию с оф.сайта, заодно более старую бесплатную версию и версию от "ZWT" с кейгеном, если хотите могу прислать кейген, а вдруг в нём тоже сидит что-то?.. :)

Просканился RootkirRevealer'ом из Sysinternals Suite, он нашел 8 подозрительных записей в реестре [URL="http://img73.imageshack.us/img73/6417/rkrvside9.png"]> 12 KB <[/URL].
FileMon и RegMon, из того же Sysinternals Suite, за несколько минут работы, тоже не показали ничего особо бросающегося в глаза...
По поводу открытых портов, мне кажутся подозрительными:
[CODE]Port Process:PID
500 lsass.exe:460
1027 svchos.exe:816
1028 svchos.exe:816
1029 svchos.exe:776
1327 svchos.exe:776
4500 lsass.exe:460
54791 svchos.exe:776[/CODE]
Ещё попозже сниффером гляну что у меня на сетевых интэрфейсах творится... Сейчас там слишком много флуда от торрентов...

Эх... надо уходить под никсы... x_x
Проблема только в том, что некоторый софт будет очень проблематично заменить на никсовые аналоги и на освоение никсов уйдёт несколько месяцев, если не лет(под вендами я сижу уже больше 10 лет и до сих пор многого про них не знаю), да ещё моё полудохлое железо как-то странно себя ведёт под никсами... =\
Видимо пока придётся ограничиться очередной переустановкой системы, а так нехочется... =\

svchos.exe - это на самом деле такое имя?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\phantom\\locals~1\\temp\\ixp000.tmp\\explorer.exe - [B]Trojan.Win32.AntiAV.ed[/B][*] c:\\windows\\system32\\f_system.dll - [B]not-a-virus:AdWare.Win32.BHO.bqe[/B][*] c:\\windows\\system32\\f_view.dll - [B]not-a-virus:AdWare.Win32.BHO.bqe[/B][/LIST][/LIST]