Не могу победить трояна

Printable View

23.10.2008, 23:07
Cat11

Вложений: 2

Не могу победить трояна

KAV 7.0 после полной проверки говорит что ничего нет.

Атака идет вот с этих адресов, они перехватываются по очереди фаерволом:
sun.ads2008.info
kgb.gbu12.info
web.hyj008.info

Изначально KAV ругался на .gif файл, который почему загружался с одного из перечисленных выше сайтов браузером при просмотре любых страниц.
вот пример: h**p://[I]kgb.gbu12.info[/I]/gbu.gif (осторожно, заразен!!)

Потом я заметил что в исходном коде любых открытых страниц самой первой строчкой присутствует java-скрипт вот такого содержания:
<script language="javascript" SRC="h**p://sun.ads2008.info/vip.js"></script>
Во всех браузерах. На всех сайтах. Этот скрипт создавал iframe в верхнем углу страницы и что-то делал в нем.

Сейчас я добавил в hosts следующие строчки:
127.0.0.1 sun.ads2008.info
127.0.0.1 kgb.gbu12.info
127.0.0.1 web.hyj008.info
И пока что новых результатов вирусной активности не заметно, но тем не менее в outpost видно что все сетевые программы постоянно ломятся на эти сайты (скриншот прилагаю).

И прилагаю лог из Kaspersky Lab Tool (не обращайте внимание на другие строчки в hosts, это моё)
23.10.2008, 23:52
AndreyKa

Закройте все программы.
Выполните в AVPTool скрипт:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\felix.exe','');
DeleteFile('c:\windows\felix.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Загрузите файл C:\quarantine.zip используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.

Сделайте новый файл информации о системе и приложите к этой теме.

PS Пора уже [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] на Windows устанавливать (может потребоваться активация).
24.10.2008, 00:22
Cat11

Вложений: 3

вот еще список логов согласно правилам, в догонку..
24.10.2008, 00:31
Cat11

Вложений: 1

карантин отправил.
felix - это у нас в сетке такой клиент авторизации

новый файл инф. о системе прилагаю
24.10.2008, 01:17
AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZPMStatus(True);
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

C felix-ом я поспешил. :( Верните его на место.
24.10.2008, 01:47
Cat11

Вложений: 1

карантин (virus.zip) отправил
24.10.2008, 02:22
AndreyKa

Не вижу в логах ничего подозрительного.

Сделайте в файле HOSTS первой строчкой:
127.0.0.1 localhost
В остальных замените 127.0.0.1 на 127.0.0.2
Посмотрите что будет в логах Outposta.
24.10.2008, 10:24
Cat11

Вложений: 2

Сделал, ничо не изменилось :(

Плюс еще на многих страницах появились непонятные скрипты и дополнения (скриншот)