Троян, предположительно Trojan.Mancsyn.J или BackDoor.Crvic

Printable View

16.04.2007, 07:57
BlackCat

Вложений: 3

Троян, предположительно Trojan.Mancsyn.J или BackDoor.Crvic

С этим зверем боролся почти сутки, вроде как убил его, но 100% уверенности в этом нету. :(
АВЗ 4.24 немного помог, но в конце концов после генерации отчетов повис намертво. Зверя пришлось удалить под ДОСом.
Самого зверя не высылаю, ибо в правилах сие не записано. Однако выслал его на [EMAIL="[email protected]"][email protected][/EMAIL]. Если будет нужно - вышлю по почте (3 куска вируса, в архиве 300кб). Пишите ПМ от админа форума.
Ниже - результаты проверки на вирустотале и джотте.

+=====================================================+

STATUS: FINISHED
Complete scanning result of "qmedia.exe", received in VirusTotal at 04.16.2007, 05:06:24 (CET).

AntivirusVersionUpdateResult
AhnLab-V32007.4.14.004.13.2007 no virus found
AntiVir7.3.1.5204.15.2007TR/Mancsyn.J
Authentium4.93.804.14.2007 no virus found
Avast4.7.981.004.16.2007 no virus found
AVG7.5.0.44704.15.2007 no virus found
BitDefender7.204.16.2007Trojan.Mancsyn.J
CAT-QuickHeal9.0004.14.2007 no virus found
ClamAVdevel-2007031204.16.2007 no virus found
DrWeb4.3304.15.2007BackDoor.Crvice
Safe7.0.15.004.15.2007 no virus found
eTrust-Vet30.7.356704.14.2007 no virus found
Ewido4.004.15.2007 no virus found
FileAdvisor104.16.2007 no virus found
Fortinet2.85.0.004.16.2007 no virus found
F-Prot4.3.2.4804.13.2007 no virus found
F-Secure6.70.13030.004.16.2007 no virus found
IkarusT3.1.1.504.15.2007 no virus found
Kaspersky4.0.2.2404.16.2007 no virus found
McAfee500904.13.2007 no virus found
Microsoft1.240504.16.2007Exploit:Win32/MS06040.gen
NOD32v2218704.13.2007probably a variant of Win32/Diazom
Norman5.80.0204.14.2007 no virus found
Panda9.0.0.404.15.2007 no virus found
Prevx1V204.16.2007Trojan.Banker
Sophos4.16.004.12.2007 no virus found
Sunbelt2.2.907.004.14.2007 no virus found
Symantec1004.15.2007W32.Mancsyn
TheHacker6.1.6.09504.15.2007 no virus found
VBA323.11.304.14.2007 no virus found
VirusBuster4.3.7:904.15.2007 no virus found
Webwasher-Gateway6.0.104.15.2007Trojan.Mancsyn.J

[U]Aditional Information[/U]File size: 49152 bytesMD5: 5b7a511eb8fdc372134be6d41c514640SHA1: 56ea87afa1183ab12fe43ef016902c8c8554ae5fPrevx info: [URL]http://fileinfo.prevx.com/fileinfo.asp?PXC=600c88630484[/URL]

+=====================================================+

Service load: 0% 100% File: qmedia.exe Status: [COLOR=red]INFECTED/MALWARE[/COLOR] (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 5b7a511eb8fdc372134be6d41c514640

Scan taken on 16 Apr 2007 03:06:03 (GMT)
AntiVir Found TR/Mancsyn.J
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Mancsyn.J
ClamAV Found nothing
Dr.Web Found BackDoor.Crvic
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found probably a variant of Win32/Diazom (probable variant)
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
16.04.2007, 10:00
drongo

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O1 - Hosts: http://equi.hf.zoo http://equi.ath.cx
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O20 - Winlogon Notify: efcyy - C:\WINNT\
O20 - Winlogon Notify: efcyy- - C:\WINNT\
O20 - Winlogon Notify: nnnkife - C:\WINNT\
O20 - Winlogon Notify: nnnkife- - C:\WINNT\
O23 - Service: Ntlg7nwsmaa - Unknown owner - (no file)[/code]

2. [url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('C:\WINNT\system32\vp6dec_settings.cpl','');
QuarantineFile('C:\WINNT\system32\vp7dec_settings.cpl','');
RebootWindows(true);
end.
[/code]

Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9020[/url]

c:\shttps\http.exe- сами ставили ? мирк тоже сами ?

3. У вас остались следы одного из вариантов coolweb search .
скачать это [url]http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe[/url], отключиться от инета, закрыть эксплорер , запустить . Всё что найдёт, выбрать и нажать fix. Перегрузиться.
16.04.2007, 16:06
BlackCat

Спасибо за оперативный ответ.

Архив с вирусом выслал. Но не из АВЗ-шки, а то что я лично сам выковырял, потому что ни АВЗ ни АВП этот вирус не нашли.
Файл сохранён как 070416_154917_virus_462362bd88a53.ZIP
Размер файла 301796
MD5 692b04cb097f7236ecb379015f328775

[quote]
c:\shttps\http.exe- сами ставили ? мирк тоже сами ?
[/quote]
Конечно сам.
1. SHTTP - это хттп, фтп и проч. сервер, маленький, навороченный, удобный для теста многих вещей, может работать сервисом.
Взято тут: [URL]http://smallsrv.com/indexr.htm[/URL]
2. Ну а как же без ирц в домашней-то сети? :) Так что мирку в автозагрузку ставил сам.

[quote] QuarantineFile('C:\WINNT\system32\vp6dec_settings.cpl','');
QuarantineFile('C:\WINNT\system32\vp7dec_settings.cpl','');
[/quote]
vp6 и vp7 - это кодеки видео, карантинить их не вижу смысла, потому скрипт не выполнял.
"The On2 VP6 Video Codec"
Взято тут: [URL]http://www.on2.com[/URL]
16.04.2007, 18:54
anton_dr

Что просили пофиксить, сделали?
[QUOTE=BlackCat;104137]
vp6 и vp7 - это кодеки видео, карантинить их не вижу смысла, потому скрипт не выполнял.
"The On2 VP6 Video Codec"
Взято тут: [URL]http://www.on2.com[/URL][/QUOTE]
Карантинить нужно не только для того, чтоб удалять, но и для того, чтоб в будущем АВЗ знал, что это файлы безопасные.
17.04.2007, 17:20
BlackCat

Ну если дело в этом, то могу выслать, это не проблема.[quote]У вас остались следы одного из вариантов coolweb search [/quote]Таки ничего не нашлось. А какие следы остались? Можно немножко подробнее, я их ручками выковыряю.
22.02.2009, 01:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\efcyy.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.iq[/B] (DrWEB: Trojan.Virtumod)[*] \\nnnkife.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ig[/B] (DrWEB: Trojan.Virtumod)[*] \\qmedia.exe.vir - [B]Backdoor.Win32.VanBot.bs[/B] (DrWEB: BackDoor.Crvic)[/LIST][/LIST]