Trojan.Siggen.4020?

Printable View

22.10.2009, 21:42
Artik

Trojan.Siggen.4020?

После попытки подкинуть мне троян по аське, решил на всякий случай просканить систему, тем более, что при сканировании архива с тем трояном (Trojan.PWS.Qiper.origin, я его не запускал) система ушла в BSOD.
Полная проверка доктором 4.44 закончилась следующими строками в логе:
[QUOTE]>C:\Windows\assembly\NativeImages_v2.0.50727_32\ehepgdat\6b1f3dfac186ae452e8e59583dd2cf5b\ehepgdat.ni.dll\____swmxsC:\Windows\System32\wr20815.dll инфицирован Trojan.Siggen.4020 - неизлечим - удален
>C:\Windows\System32\DriverStore\FileRepository\mstape.inf_37b0b9c0\mstape.sys - ошибка распаковки[/QUOTE]
после чего лог обрывается - система опять ушла в BSOD.
Попытки сканирования в обычном режиме с подключенным инетом снова выводили на бсод. То же произошло при попытке проверки майкрософтовским средством удаления.
Сканы CureIt! и Kaspersky VRT в безопасном режиме ничего не показали.
Norton Security Scan&Clean, установленный в скрытом разделе восстановления ноута нашел только Доктора и возможно его повредил: после этого доктор некоторое время отправлял систему в бсод при достижении сканером конца шкалы "подготовка к сканированию", однако сейчас, после пары перезагрузок и проверок AVZ и HijackThis перестал.
ЗЫ: Текст бсода обычно Page fault in nonpaged area, один раз был стандартный IRQ not less or equal, и еще один раз какой-то третий.
22.10.2009, 21:48
V_Bond

выполните скрипт
[code]
begin
QuarantineFile('C:\Windows\system32\IcnOvrly.dll','');
QuarantineFile('C:\Windows\test.bat','');
QuarantineFile('C:\Windows\System32\termsrv.dll','');
end.
[/code]
пришлите карантин согласно приложения 3 правил
22.10.2009, 23:00
Artik

Отправил. При выполнении скрипта была ошибка:
[QUOTE]Ошибка карантина файла, попытка прямого чтения (C:\Windows\test.bat)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\test.bat)
Карантин с использованием прямого чтения - ошибка
[/QUOTE]
Визуально по этому пути такого файла и нет. Запускаю под администратором, хотя у меня и отключен UAC

[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]

Только что случился еще один бсод, без видимых причин. Возможно, доктор попытался обновиться. При ручном запуске обновления после перезагрузки (работает интегрированный DrUpdate) проблем не возникло
24.10.2009, 21:15
Artik

Наверное, уже пора говорить "ап"?
25.10.2009, 11:59
Rene-gad

Присланные файлы чистые.

[QUOTE]C:\Windows\assembly\NativeImages_v2.0.50727_32\eh epgdat\6b1f3dfac186ae452e8e59583dd2cf5b\ehepgdat.ni.dll\____swmxs
C:\Windows\System32\wr20815.dll инфицирован Trojan.Siggen.4020[/QUOTE]- явный ложняк Др.Веб. Восстановите файл из дистрибутива (Vista SP2) или с аналогичной системы.
30.10.2009, 01:43
Artik

Прошу прощения за задержку
Дистр добыть не получилось, манипуляции с диском восстановления привели к сильному повреждению системы. Переставил полностью раздел из образа (софтина от производителя по типу norton ghost, или как его). Так вот, в системе еще оставалось два винта, которые не форматировались, поэтому то, что ничего не улучшилось, объяснимо.
wr20815.dll в восстановленной системе тоже отсутствует. Это определенно что-то левое.
Сканер доктора отправляет систему в бсод в конце подготовки сканирования, как и раньше.
Наверное мне стоит по-новой сделать логи, раз ось с нуля установлена?
30.10.2009, 01:44
Никита Соловьев

Делайте
31.10.2009, 21:04
Artik

Новые логи
31.10.2009, 21:13
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\IcnOvrly.dll','');
QuarantineFile('C:\Windows\test.bat','');
DeleteFile('C:\Windows\test.bat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Unattend0000000001{70EB91E7-FAAB-44A4-BA19-C0A45B228BC0}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

сделайте новые логи
31.10.2009, 21:49
Artik

карантин выслал, делаю логи
[I]если где-нибудь в имеющихся логах всплывает как кейлоггер некий findkey32.exe - это все свое, родное, оно убивает запуск медиаплеера по нажатию соответствующей кнопки ноутбука.[/I]
31.10.2009, 23:14
Artik

новые логи
31.10.2009, 23:17
Никита Соловьев

Чисто
Установите SP3 + все последующие обновления безопасности
31.10.2009, 23:33
Artik

это виста. SP2 и все обновления - до конца.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

единственное, что приходит в голову - перейти на пятого доктора, вдруг это проблема совместимости: я точно помню, что пользовался сканером 4.44 под вистой, но не уверен, пользовался ли после обновления на сп2
31.10.2009, 23:35
Никита Соловьев

[QUOTE]это виста[/QUOTE]Сорри, проглядел
[QUOTE]единственное, что приходит в голову - перейти на пятого доктора[/QUOTE]Давно пора, 4.44 целиком и полностью устарела
31.10.2009, 23:59
Artik

обновился, сканер вроде работает.
[I]Правда не уверен, что правильно обновился - он не смог сразу закрыть предыдущую версию и соответственно, возможно не все заменил, но это уже моя проблема.[/I]
спасибо за помощь
01.11.2009, 23:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]