Осталась какая-то хрень

Printable View

17.03.2007, 20:31
A4'

Вложений: 3

Осталась какая-то хрень

Дёрнул меня чёрт взяться за удалённую работу... Наловил кучу всякого дерьма =((

Первые симптомы:
[LIST][*]самопроизвольное закрытие окон IE и некоторых программ;[*]убийство AnVir (сторож реестра);[*]появились процессы вида: drf1173910330[1].html.exe, и icqnet.exe;[*]в IE появилась какая то левая надстройка выдающая себя за DM toolbar;[*]скорость загрузки из Инета в Download Master после первых секунд падает до 3 килобайт в сек (должно быть ~80 кбс), причём такое же падение скорости наблюдается также и для файлов внутренней сетки (должно быть ~1100 килобайт в сек).[/LIST]drweb-cureit.exe нашёл и прибил (удалил файлы) 2 вируса что-то там.. Trojan.Dialer... и NTNN... не помню точно, а лог он не сохранил, вот редиска =(. Найдены они были в файлах: dmaster.exe, icqnet.exe, smss.exe, и в каком то ещё... из IE Temp.

При первом прогоне AVZ (по правилам, первый скрипт) - AVZ был самопроизвольно закрыт. После перезагрузки и повторного запуска скрипт отработал нормально. Логи прилагаю.

Сейчас остался последний симпом из перечисленных. Стало быть наверно что то ещё осталось. Поможите люди добрые.
17.03.2007, 20:39
A4'

Забыл добавить: при загрузке файла средствами IE скорость нормальная, возможно это и не существенно.
17.03.2007, 21:13
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Program Files\LightWave_3d_7.0\Plugins\Animate\MD2000.p','' );
QuarantineFile('D:\temp\vir\drf1173910330[1].html.exe','');
QuarantineFile('D:\temp\swarmsaver.scr','');
QuarantineFile('D:\WINDOWS\system32\ou1viewer.dll','');
QuarantineFile('d:\program files\alias\maya6.0\docs\wrapper.exe','');
QuarantineFile('d:\windows\system32\wtablet\tabuserw.exe','');
QuarantineFile('d:\program files\alias\maya6.0\docs\jre\bin\java.exe','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Очистите кэш браузера.
17.03.2007, 22:09
A4'

Выслал. Кстати файла 'D:\temp\swarmsaver.scr' в карантине не оказалось. Да и на диске его нет.
18.03.2007, 11:54
A4'

Всё? Помощь иссякла? =((
18.03.2007, 12:41
Bratez

В присланном:
drf1173910330[1].html.exe - Trojan.Win32.Dialer.ri
ou1viewer.dll - Trojan-PSW.Win32.Maran.da
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\temp\vir\drf1173910330[1].html.exe');
DeleteFile('D:\WINDOWS\system32\ou1viewer.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки сделайте новые логи.
PS. Сайт [url]http://cahek.hut1.ru[/url] в доверенную зону сами прописывали?
19.03.2007, 05:46
A4'

После удаления ou1viewer.dll полностью отвалилсся Инет (http, pop3, skype, icq и т.д хотя сервера пинговались). Восстановил пока ou1viewer.dll, иначе совсем тоскливо. Нет ли другого способа кроме удаления?

Откуда вы узнали, что в ou1viewer.dll - Trojan-PSW.Win32.Maran.da? AVZ ничего не нашёл, DrWeb CureIt - нашёл Dialer.Tiny. Им что нельзя доверять?

[quote=Bratez;100127]
PS. Сайт [URL]http://cahek.hut1.ru[/URL] в доверенную зону сами прописывали?[/quote]
Да сам, это мой сайт. Есть опасность?

Так мне выполнять это скрипт и делать логи? Инет опять же отвалится, а без Инета какая жизнь?
19.03.2007, 08:30
Кто?

После выполнения скрипта.
AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 -> выполнить отмеч. операции.
Интернет должен восстановиться, если нет, то. отметить п. 15 и выполнить.

[quote]Откуда вы узнали, что в ou1viewer.dll - Trojan-PSW.Win32.Maran.da?[/quote]
Это по классификации лаборатории Касперского
19.03.2007, 12:50
PavelA

Кстати, если Касперский не ошибается, то нужно будет поменять пароли на все: интернет, аську, почту и пр.
19.03.2007, 17:17
A4'

Увы, симптомы (падение скорости загрузки в Download Master) пока остаются =(
Через некоторое время вышлю логи, а пока вопрос: [U]как проверять систему с помощью CureIT?[/U] (2 пункт правил) Достаточно ли того что она проверяет стартовые файлы при своём запуске или её нужно прогонять вообще по всем файлам? Если Второе, то это будет пипец как долго. Много, много часов....
19.03.2007, 17:25
Bratez

CureIt надо просто запустить, он сделает все, что нужно.
Это не долго, всего несколько минут.
19.03.2007, 17:27
Bratez

[quote=A4';100306]Увы, симптомы (падение скорости загрузки в Download Master) пока остаются =([/quote]
Так у вас ou1viewer.dll по-прежнему живет, или совет [B][I]Кто?[/I][/B] не помог?
19.03.2007, 17:47
A4'

ou1viewer.dll - убит, Инет восстановлен, совет Кто? очевидно помог. SPI/LSP настройки восстановлены. Но симптомы остались =( Не знаю что и думать...
Ладно щас ещё раз логи сделаю.
19.03.2007, 17:53
Bratez

Попробуйте удалить DM (желательно с очисткой его папки и ключей в реестре), скачать свежий и поставить.
19.03.2007, 20:43
A4'

Вложений: 3

Дык... уже пробовал (пару дней назад, когда всё это началось) только реестр не чистил..

Там по логам видна какая-то зараза
в D:\WINDOWS\system32\drivers\sptd.sys. Якобы скази-драйвер...
имеет дату 31 января 3007 года и перехватывает всё что только можно. Произаодитель и версия не указаны.
Рядом с ним в D:\WINDOWS\system32\drivers\ валяются sptd_to_deleted.sys и sptd4173_to_deleted.sys. Версия, описание и производитель вроде разумные. Скази устройств на компе нет, но ставил себе Deamon Tools которых и поставил (ИМХО) скази порт драйвер.

Логи прилагаю. Во время записи логов были какие то катклизмы и комп 1 раз перезагружался. Пипец...

Поможите люди добрые. Заипался я совсем.
19.03.2007, 20:51
drongo

Спокойствие, только спокойствие :)как говорит Карлсон
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ksdmac.dll','');
QuarantineFile('D:\WINDOWS\smss.exe','');
RebootWindows(true);
end.
[/code]
возможно его друг или два , пришлите эти файлы .
19.03.2007, 21:25
A4'

=( скрипт выполнил, однако ни в карантине ни на диске файлов нет. Между логом и скриптом была одна перезагрузка (по правилам млять! истерика... )
20.03.2007, 10:39
PavelA

Обнаружил [B]Вашу старую [/B]тему. Там лечились от [B]Look2Me[/B].
История повторяется. Если [B]Look2MeDestroyer[/B] еще не удалили
попробуйте его запустить. Он тоже перезагружает машину. Его протокол загрузите сюда.

З.Ы.
В скрипте последняя команда перезагружает компьютер.
Повторюсь: "[COLOR="Red"]Спокойствие,спокойствие[/COLOR]"
22.02.2009, 01:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\temp\\vir\\drf1173910330[1].html.exe - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\windows\\system32\\ou1viewer.dll - [B]Trojan-PSW.Win32.Maran.da[/B] (DrWEB: Trojan.PWS.Maran)[/LIST][/LIST]