advapi32.$$$

Printable View

19.11.2008, 14:56
matan

Вложений: 3

advapi32.$$$

Напрягает этот файл в папке system32 - если его удалить, после него появляется advapi32.bak, удалял и его, все равно после ребута появляется advapi32.$$$
Ругается на него только Spyware Terminator
19.11.2008, 14:58
matan

081119_055735_virus_4923ff2fd3359.zip
Заодно сразу присылаю карантин с этими advapi32 файлами
19.11.2008, 15:04
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ....
19.11.2008, 17:39
matan

Вложений: 3

Скрипт выполнил
После ребута - файл остался на месте
Кстати - забыл написать - что просто так через проводник он не удаляется - пишет типа нет доступа
сделал логи (ничего в процессах не отключал)
удалил файл AVZ-ом, ребутнулся - файл на месте
в карантин попал только bak файл, крякнутой проги - которая стоит уже давно и дело не в ней, но все же вышлю
19.11.2008, 18:09
MOCT

Вообще файл advapi32.$$$ появляется при заражении одним из троянцев и представляет собой пропатченный файл advapi32.dll (в него добавляется секция .detour)
19.11.2008, 18:50
Гриша

advapi32.$$$

Вредоносный код в файле не обнаружен.
19.11.2008, 20:25
matan

попробую завтра сравнить файлы advapi32.$$$ advapi32.dll и advapi32.dll с другого компа по MD5
в реестре также создается ассоциация на файл типа .$$$ но явного приложения в ней не указанно
но в любом случае вопрос упирается в то - кто же патчит dll или создает $$$
20.11.2008, 03:35
pig

У вас Crypto Pro стоит, $$$ - это её происки.
20.11.2008, 09:11
matan

Crypto pro стоит, и из-за нее AVZ все время ругается на advapi32.dll, а также на еще на два или три процесса, анализ такой прикольно-красный получается, но $$$ я раньше не замечал, хотя эта самая crypto у меня много где стоит
20.11.2008, 09:45
MOCT

Ага, значит хоть в чем-то трояны не виноваты. А то уже устал искать зловреда с такой функцией :)
21.11.2008, 14:12
matan

Похоже крипто про ни при чем
посмотрел на другом компе с крипто про - там такой же advapi32.dll файл
а $$$ - нету, кроме того - MD5
08C16782A08E1AAAEFECDD4DCE461EE4 advapi32.$$$
F6657725DD0168572E46E2B8A079C6BB advapi32.dll
правда есть такая еще мысль - может это Spyware Terminator как то карантинит dll подозревая в ней вирус
Я этим терминатором сам не пользуюсь, и на других компах его тоже нет - только на этом с $$$
21.11.2008, 19:22
MOCT

[quote=matan;312471]Похоже крипто про ни при чем
посмотрел на другом компе с крипто про - там такой же advapi32.dll файл
а $$$ - нету, ... правда есть такая еще мысль - может это Spyware Terminator как то карантинит dll подозревая в ней вирус
Я этим терминатором сам не пользуюсь, и на других компах его тоже нет - только на этом с $$$[/quote]
Spyware Terminator тут тоже не при чем - на виденном мной компьютере его не было.
Зато там одновременно побывало:
not-a-virus:AdWare.Win32.BHO.dai
Backdoor.Win32.SdBot.ijo
Trojan.Win32.Agent.anyc
Trojan.Win32.Agent.amol
Trojan.Win32.SmallGame.w
Trojan.Win32.VB.gqe
Trojan-Dropper.Win32.Agent.zje
Trojan-Dropper.Win32.Agent.zvw
Trojan-Downloader.Win32.Agent.yuv
Trojan-Downloader.Win32.Agent.ansh
Trojan-Downloader.Win32.Agent.aoya
Trojan-Downloader.Win32.Agent.antg
Trojan-GameThief.Win32.Magania.* - 9 сортов
Trojan-GameThief.Win32.OnLineGames.* - 20 сортов
Trojan-GameThief.Win32.MultiFirst.t
+ некоторое количество недетектируемых по сей день...
Выбирайте любого ;)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=pig;311794]У вас Crypto Pro стоит, $$$ - это её происки.[/quote]
Кстати говоря, если Crypto Pro и правда патчит файлы Windows, то ст. 273 для авторов нарисовалась тут как тут ;-)
22.11.2008, 02:51
pig

Возможно, зависит от версии Crypto Pro. У меня на работе эти $$$ присутствуют.

P.S. Года два назад здесь же это же ловили и сошлись на Crypto Pro. Или Паул подсказал, или Олег вычислил, я уже не помню.
22.11.2008, 10:18
matan

2pig Скорее всего вы правы - версии Crypto pro там действительно разные
Так что наверно проблем нет, ни NOD ни AVZ никаких проблем не находят.
Всем Спасибо! :)
22.02.2009, 08:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]