SMS Download + ещё что-то

Printable View

02.01.2010, 22:49
Andy_skif

SMS Download + ещё что-то

День добрый.

Просмотрите плииз...
03.01.2010, 00:30
thyrex

1. Скачайте утилиту во вложении и запустите (в Vista (Windows 7) [u]запускать от имени Администратора[/u] по [b]правой кнопке[/b] мыши). Компьютер перезагрузится

2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

3. Пофиксите в Hijack
[code]F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,[/code]

4. Сделайте новые логи
03.01.2010, 01:04
Andy_skif

Готово.
03.01.2010, 03:53
Bratez

Необходимо загрузиться с любого загрузочного CD, позволяющего выполнять операции с файлами на жестком диске, и выполнить следующие действия:
1. Файл C:\Windows\System32\Drivers\hidusb.sys переименовать например в baddrv.sys.
2. Файл drv.sys, который вы прикрепляли выше, скопировать в папку C:\Windows\System32\Drivers и переименовать в hidusb.sys.

Далее, перезагружайтесь в свою систему и
1. Запакуйте файл baddrv.sys в архив с паролем [I]virus [/I]и пришлите по красной ссылке для карантина (вверху темы).
2. Сделайте лог syscheck (п.2 раздела [I]Диагностика[/I] правил).
03.01.2010, 12:07
Andy_skif

плииз, подскажите посоветуйте - какой и где Live CD лучше взять. ???
03.01.2010, 13:09
Andy_skif

сделал.
baddrv - прикрепил
syscheck - сделал - прикрепил :wink_3:
03.01.2010, 21:16
thyrex

Почему не пофиксили строку в HiJack? Выполните
03.01.2010, 23:21
Andy_skif

:ohmy: :huh: :blink:
странно фикслал, всё делал поэтапно как и говорили,
может, что-пропустил - сейчас пару ми и повторю
03.01.2010, 23:59
Andy_skif

Логи сначала.... :rolleyes:
04.01.2010, 02:20
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
[/code]
Как это правильно делать, читайте тут:
[url]http://virusinfo.info/showthread.php?t=4491[/url].

Больше ничего плохого в логах нет.
04.01.2010, 10:14
Andy_skif

Спасибо
04.01.2010, 22:55
Andy_skif

Сорри, уточнение,....

а в логах такой текст и должен быть - что-то неспокойно (пару цитат):
===========
.....
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->760224B5->75B5193A
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022655->763672D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7602268C->7636733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->760226C3->76367C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->760226FA->76365F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022732->76365E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022766->763671C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022799->76366B9D
.....

+++++++++++++

Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B10->6E7B29DD
Функция netapi32.dll:DavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B29->6E7B181B
Функция netapi32.dll:DavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B45->6E7B1713
Функция netapi32.dll:DavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B5A->6E7B2347
Функция netapi32.dll:DavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B76->6E7B275B
Функция netapi32.dll:DavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B94->6E7B257D
Функция netapi32.dll:DsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BB2->75334A4D
Функция netapi32.dll:DsAddressToSiteNamesExA (8) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BD1->75334D79
Функция netapi32.dll:DsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BF2->75335049
Функция netapi32.dll:DsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C13->75334C29
Функция netapi32.dll:DsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C32->75336DD9
Функция netapi32.dll:DsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C57->75336D59
Функция netapi32.dll:DsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C7C->75336771
.....

++++
Функция NtAdjustPrivilegesToken (0C) перехвачена (82C5E875->8703EBD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys,.....

++++
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 432)
Маскировка процесса с PID=448, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 448)
Маскировка процесса с PID=504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 504)
Маскировка процесса с PID=564, имя = ""
.......

+++++
7. Эвристичеcкая проверка системы
>>> C:\Windows\wt\webdriver\webdriver.dll ЭПС: подозрение на Spy.WindTangent
......

и т.д.

==================================================================
что не даёт покоя
- система ну очень долго стартует
- в логах AVZ - чересчур много красных строк - если делать стандартные скрипты но скан. проходит до конца
- если делаю просто сканирование системы в AVZ - строки которые красные (перехавтчики... + ... ) AVZ пишет что вроде как нейтрализует
=========== к примеру
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->760224B5->75B5193A
Перехватчик advapi32.dll:AddMandatoryAce (1029) нейтрализован
........... и.т.д. по всем.
==================, но проверка до конца не проходит, выкидывает какую-то ошибку - и останавливается почти в конце сканирования, и дальше AVZ повисет... (((

P/S.
собственно логи те же что и выше - только строку F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe, - КИКНУЛ.....
04.01.2010, 23:09
pig

[QUOTE='Andy_skif;552026']Функция NtAdjustPrivilegesToken (0C) перехвачена (82C5E875->8703EBD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys[/QUOTE]
Касперский.
[QUOTE='Andy_skif;552026']>> обнаружена подмена PID (текущий PID=0, реальный = 504)
Маскировка процесса с PID=564, имя = ""[/QUOTE]
Для "семёрки" в порядке вещей.
[QUOTE='Andy_skif;552026']>>> C:\Windows\wt\webdriver\webdriver.dll ЭПС: подозрение на Spy.WindTangent[/QUOTE]
А вот это она правильно ругается. Я бы убил всю папку wt.
05.01.2010, 23:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \baddrv.sys - [B]Rootkit.Win32.ZAccess.cg[/B] ( DrWEB: Trojan.Winlock.569 )[/LIST][/LIST]