Printable View
[QUOTE=Gekster;179480]Новое наблюдение: троян активизируется после запуска internet explorer. попытаюсь поискать в апплетах
.[/QUOTE]
Нашел виновника googletoolbar4.dll. После его включения интернет эксплорер при запуске подвисает и старые знакомые джпеги в temporary internet files сразу появляются. Могу выслать на анализ.
P.S. кстати, по-моему AVZ одно время ругался на возможность вредоносного кода то ли в google dektop, то ли google toolbar
[QUOTE=V_Bond;179511]интересует ,только ничего из того что вы говорите в логах нет ...
давайте новые логи ... чудес не бывает ...[/QUOTE]
выкладываю. а правильно ли я делал, что всегда до последнего момента проверку запускал при включенном avzguard?
у AVZ есть сообщение, что google может запускать код через AppInit
выполните скрипт .... убивающий зловреда из поста 4 ...
затем сделайте полную проверку [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool"]AVPTool[/URL]
[QUOTE=V_Bond;179539]выполните скрипт .... убивающий зловреда из поста 4 ...
затем сделайте полную проверку [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool"]AVPTool[/URL][/QUOTE]
GoogleToolbarNotifier.exe - Trojan-Downloader.Win32.Bagle.hi
что с вашими проблемами ? сделайте логи начиная с пункта 10 правил ....
[QUOTE=V_Bond;179576]что с вашими проблемами ? сделайте логи начиная с пункта 10 правил ....[/QUOTE]
Удалил нафиг google toolbar вместе с папкой. Загрузился в нормальном режиме, включил все апплеты IE. Вроде бы все нормально, вирус себя нигде не проявляет. Только в авторане стали видны ссылки на бывшие hldrrrr.exe, wintems.exe и т.д. Но, постоянно перестает работать http. Только запущу winsockfix и перезагружусь - несколько минут работает, а потом опять вырубает. И так каждый раз. при это пинги из командной строки идут. Что может быть?
P.S.Кстати, именно AVTOOL нашел исходный заразный файл. Может быть его в правила вместо CureIT вписать? Преимущество налицо.
пофиксите ...
[code]
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
[/code]
почистим остатки антивирусов они мешают чистоте эксперимента и примочки от Google ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('SNDSrvc', 4);
DeleteService('SNDSrvc');
StopService('SNDSrvc');
SetServiceStart('NOD32krn', 4);
DeleteService('NOD32krn');
StopService('NOD32krn');
SetServiceStart('ccSetMgr', 4);
DeleteService('ccSetMgr');
StopService('ccSetMgr');
SetServiceStart('awhost32', 4);
DeleteService('awhost32');
StopService('awhost32');
SetServiceStart('ccPwdSvc', 4);
DeleteService('ccPwdSvc');
StopService('ccPwdSvc');
DeleteFile('c:\program files\google\google desktop search\googledesktop.exe');
DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe');
DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopCommon.dll');
DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopHyper.dll');
DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll');
DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopResources_ru.dll');
DeleteFile('C:\Program Files\Google\Google Desktop Search\gzlib.dll');
DeleteFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL');
DeleteFile('C:\PROGRA~1\Google\GOOGLE~1\GoogleDesktopResources_ru.dll');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe');
DeleteFile('I:\Program Files\Symantec\pcAnywhere\awhost32.exe');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe');
DeleteFile('C:\Program Files\Eset\nod32krn.exe');
DeleteFile('C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe');
DeleteFile('C:\Program Files\Eset\nod32kui.exe');
DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте два последних лога ...
[quote=V_Bond;180037]пофиксите ...
сделайте два последних лога ...[/quote]
Сделал. Высылаю. (WinsockFix без команды не запускал, поэтому http сейчас не работает).
еще почистим мусор ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('SYMTDI', 4);
DeleteService('SYMTDI');
SetServiceStart('SYMREDRV', 4);
DeleteService('SYMREDRV');
QuarantineFile('C:\WINDOWS\system32\wininet.dll','');
SetServiceStart('LiveUpdate', 4);
DeleteService('LiveUpdate');
DeleteFile('C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE');
DeleteFile('C:\DOCUME~1\Artem\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\SYMREDRV.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\SYMTDI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
если в карантин попадет wininet.dll пришлите его по правилам ...
в последнем логе у вас снастройками SPI/LSP все в порядке ... у вас днс сервер прописан в настройках интернет ... ?
[QUOTE=V_Bond;180047]еще почистим мусор ...
выполните скрипт ... если в карантин попадет wininet.dll пришлите его по правилам ...[/QUOTE]
Выслал.
[QUOTE]в последнем логе у вас снастройками SPI/LSP все в порядке ... у вас днс сервер прописан в настройках интернет ... ?
[/QUOTE]
Нет. у меня все настройки на роутере, а он все сам по DHCP раздает.
Сейчас вроде бы тьфу-тьфу работает.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=Gekster;180050]
Сейчас вроде бы тьфу-тьфу работает.[/QUOTE]
поторопился. снова затык.
присланный файл чистый .... если больше проблем нет ... то не вижу к чему придраться ...
[QUOTE=V_Bond;180054]присланный файл чистый .... если больше проблем нет ... то не вижу к чему придраться ...[/QUOTE]
проблема с вебом еще остается.
[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]
[QUOTE=V_Bond;180054]присланный файл чистый .... если больше проблем нет ... то не вижу к чему придраться ...[/QUOTE]
может быть дело в остатках испоганенного вирусом Zone Alarm Pro?
почистим ZoneAlarm
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe');
DeleteFile('C:\WINDOWS\System32\vsdatant.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[QUOTE=V_Bond;180072]почистим ZoneAlarm
выполните скрипт ....
[/QUOTE]
полчаса - полет нормальный. неужели это все?
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 57 минут[/I][/B][/color][/size]
Спасибо всем большое за помощь. Похоже все окончательно заработало.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\hldrrr.exe - [B]Trojan-Downloader.Win32.Bagle.hi[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\windows\\system32\\drivers\\srosa.sys - [B]Trojan-Downloader.Win32.Bagle.iq[/B] (DrWEB: Win32.HLLM.Beagle)[/LIST][/LIST]