[url]http://castlecops.com/t127830-MC27_tmp_vir_spr_madtolc_programme.html[/url]
Printable View
[url]http://castlecops.com/t127830-MC27_tmp_vir_spr_madtolc_programme.html[/url]
Привет всем. В AVZ нашлись только C:\Program Files\NoAdware4\noadwareutils.dll и C:\Recycled\1.exe, их я выслала на [url]https://virusinfo.info/upload_virus.php[/url]
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp просто исчез, искала и через AvZ, и через простой поисковик.
Кстати, насчет Касперского, то сколько не слушаю -мнения противоречивые, одни говорят, что он хорош, другие- что он первый и вылетает. Не поймешь, кто прав. Но понятно одно - идеалов не бывает -что один антивирь фиксит, то упешно другой пропустит, если алгоритм не ловит.
Еще вот что хотела спросить, хоть это и оффтоп, но есть вопрос. У меня Outpost постоянно в последние дни зачастил с сообщениями о сканировании портов, причем аж по 6-9 раз в день. Теоретически что возможно сделать с компом после сканирования? Я пока особых ситуаций не замечала, хотя вирусов достаточно, с чем к Вам и обратилась за помощью. Можно ли как-то по IP определить, откуда попытки идут? Заранее спасибо.
[QUOTE=memorex]Привет всем. В AVZ нашлись только C:\Program Files\NoAdware4\noadwareutils.dll и C:\Recycled\1.exe, их я выслала на [url]https://virusinfo.info/upload_virus.php[/url]
[/QUOTE]
продолжаем борьбу с заразой.
если есть такие файлы, то тоже нужно прислать:
c:\Program Files\pl.exe
c:\x.htm
xwxload.exe
msldf.exe
dexKZ331.exe
файлы
C:\Recycled\1.exe
можно смело удалить - там троян Trojan-Dowbloader.Win32.Small.fo
Все сделала как сказано, в Hijack профиксила, riskware подключила, сканировала, он выдал : C:\WINDOWS\system32\H@tKeysH@@k.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll успешно удален и C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP370\A0086876.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll успешно удален. Решила еще раз, как в начале сделать новые зипники и отправить, включила сканирование системы через virusinfo_cure, так он мне сообщил, что "C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP378\A0093329.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll удаление запрещено настройкой"
Это что, клон еще что ли?
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp искала еще раз и просто через поисковик, и через AVZ -ноль результатов. Я вчера никаких чисток не делала, он убрался часов через восемь - я на форум зипники с AVZ отправляла, потом выключила комп, часов через восемь включила, прочитала советы, стала искать файл -ни слуху, ни духу.
Высылаю еще новые логи AVZ и Hijack
c:\Program Files\pl.exe
c:\x.htm
xwxload.exe
msldf.exe
dexKZ331.exe
я не нашла, нету их, в новых логах, которые высыла. c:\Recycled\1.exe будет- не успела удалить, сейчас удалю. Но там еще что-то с Riskware есть.
еще вопрос -как мне к C:\Recycled\1.exe подобраться? в Explorer не светится этот каталог, просто в C:\- тоже, какой путь?
[QUOTE=memorex]еще вопрос -как мне к C:\Recycled\1.exe подобраться? в Explorer не светится этот каталог, просто в C:\- тоже, какой путь?[/QUOTE]
через AVZ подбирайтесь - ему без разницы есть атрибуты "скрытый системный" на папке или нет. попробуйте опцию "Файл\Отложенное удаление файла"
[QUOTE=memorex]
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp искала еще раз и просто через поисковик, и через AVZ -ноль результатов. Я вчера никаких чисток не делала, он убрался часов через восемь - я на форум зипники с AVZ отправляла, потом выключила комп, часов через восемь включила, прочитала советы, стала искать файл -ни слуху, ни духу.
[/QUOTE]
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
опять в логе засветился.
[QUOTE=memorex]
c:\Program Files\pl.exe
c:\x.htm
xwxload.exe
msldf.exe
dexKZ331.exe
я не нашла, нету их, в новых логах, которые высыла.
[/QUOTE]
искали через AVZ?
p.s. все файлы нужно искать со включенной опцией противодействия руткитам!
C:\Recycled\1.exe удалила, спасибо!
mc21.tmp искала раза три через AVZ -ноль, противодействие руктитам включено, вот что написано было
[B] Поиск файлов по маске mc21.tmp
Поиск файлов завершен
Просмотрено 24254, найдено 0[/B]
зато включила поиск в реестре, то засветилось Модуль для поиска данных в реестре,
Запущен поиск ключей, содержащих образец "mc21.tmp"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\ImagePath = \??\C:\DOCUME~1\ServiceP\LOCALS~1\Temp\[B]mc21.tmp[/B]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mchInjDrv\ImagePath = \??\C:\DOCUME~1\ServiceP\LOCALS~1\Temp\[B]mc21.tmp[/B]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\ImagePath = \??\C:\DOCUME~1\ServiceP\LOCALS~1\Temp\[B]mc21.tmp[/B]
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\002 = [B]mc21.tmp[/B]-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск завершен --
Просмотрено ключей: 160038
остальные файлы он так же не нашел. Прочистила при помощи AVZ Riskware и удалила A0093597.exe >>> подозрение на TrojanDownloader.Win32.Small.fo и A0093329.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll.
Высылаю еще раз новые на сей день логи, там этот mc21.tmp опять торчит.
[QUOTE=memorex]...
mc21.tmp искала раза три через AVZ -ноль, противодействие руктитам включено, вот что написано было
[B] Поиск файлов по маске mc21.tmp
Поиск файлов завершен
Просмотрено 24254, найдено 0[/B]
...
[/QUOTE]
Значит так... Этот файл, [I]C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp[/I], больше искать не надо, вы его все равно простыми способами не найдете! Это (скорее всего, но не на 100%!!!) известный файл, драйвер программы [I]TrojanHunter[/I], а, точнее, ее компоненты по имени [I]TrojanHunter Guard[/I]. Еще вчера утром на это косвенно указал [B]HATTIFNATTOR[/B]:
[QUOTE=HATTIFNATTOR][url]http://castlecops.com/t127830-MC27_tmp_vir_spr_madtolc_programme.html[/url][/QUOTE]
Как показало дополнительное исследование, этот файл существует на диске в течение всего лишь десятка миллисекунд, необходимых для того, чтобы подгрузить драйвер [I]TrojanHunter Guard[/I], после этого он сразу же уничтожается. Как это происходит, можно в деталях посмотреть на картинках: [URL="http://aintrust.narod.ru/images/trojanhunter/thguard_filemon.png"]Filemon, создание и уничтожение файла [I]mc22.tmp[/I][/URL] и [URL="http://aintrust.narod.ru/images/trojanhunter/thguard_regmon.png"]Regmon, создание ключа драйвера [I]TrojanHunter Guard[/I] в реестре[/URL]. Пусть вас не смущает несоответствие имени файла ([I]mc22.tmp[/I]) - оно может меняться.
Весь этот процесс происходит в соответствии со сценарием, который я описал в этой ветке несколькими сообщениями выше (сообщение от [I]09.03.2006 21:12[/I])...
Добавлю также, что предложение, которое выдвинул [B]MOCT[/B], а именно:
[QUOTE=MOCT]
[QUOTE=Зайцев Олег]Есть подозрение, что mc21.tmp - это что-то типа EXE/DLL, хранимой внутри какого-то приложения. Я подобное поведение десятки раз наблюдал на вполне безопасных программах[/QUOTE]
однозначно.
а по поводу безопасности - пусть даже и безопасная, так все равно не помешает в базу чистых добавить, чтобы больше такие записи нас не смущали[/QUOTE]
в текущий момент не имеет большого смысла, т.к. AVZ, даже имея этот файл, [I]mc21.tmp[/I], в своей коллекции "чистых", все равно будет считать и отображать его "грязным" - как в 'Исследовании системы', так и при отображении 'Модулей пространства ядра'. Это связано с некоторой спецификой использования базы "чистых" объектов в AVZ. Подробности этого (а также некоторые сценарии атак на AVZ, с этим связанные) я изложу немного позднее сегодня в ветке, посвященной обсуждению AVZ, а именно: [URL="http://virusinfo.info/showthread.php?t=4855&page=7"]AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке[/URL].
хорошо, а что мне дальше делать? В Инете нашла следующее описание
File: MC21.TMP
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)
MD5 91380cadf1e18274ea2243a74ebe9a7e
Packers detected: -
Scanner results
AntiVir Found SPR/Madtol.C
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:Tool.Win32.Madtol.c
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing
Вообще как с этой заразой бороться-то? как удалить? нкжели вообще способов нету?
[QUOTE=memorex]хорошо, а что мне дальше делать?
Вообще как с этой заразой бороться-то? как удалить? нкжели вообще способов нету?[/QUOTE]
Вообще-то, этот драйвер (в теории) - это даже как-бы и не обязательно [I]зараза[/I], это т.н. [I]tool[/I] - именно поэтому не все a/v программы на него "реагируют". :) Но по одному лишь названию, конечно, нельзя судить, что это за "фрукт".
Пути борьбы, тем не менее, два:
1) если у вас в текущий момент [U]установлен [I]TrojanHunter[/I][/U], то загрузите [I]TrojanHunter Guard[/I] (при этом его значок появится в системном трее), щелкните на нем правой кнопкой мыши, выберите пункт меню 'Settings...', в появившемся диалоге выключите все флажки и нажмите 'OK'. После этого выгрузите сам [I]TrojanHunter Guard[/I] (щелкнув снова правой кнопкой мыши на его значке в трее и выбрав пункт меню 'Unload'). Затем перегрузите компьютер и "вымойте руки" :). Если все OK, то после этих действий должна исчезнуть как запись в реестре об этом драйвере, так и сам драйвер должен перестать загружаться!
Еще проще - деинсталлируйте TrojanHunter, если он вам не нужен!
2) если же у вас [U]не установлен [I]TrojanHunter[/I][/U] (что уже очень похоже, т.к. THGuard должен был, по идее, "проявиться" в процессах!), то тут тоже два варианта (более трудный случай, скажем так): :)
2.1) какая-то "хорошая" программа использует идентичную с [I]TrojanHunter[/I] технологию загрузки драйвера (и даже в реестре имена веток совпадают);
2.2) какой-то троян использует эту технологию, чтобы "отвлечь внимание", "запудрить мозги" и т.д.
В общем, информируйте... И пришлите, пожалуйста, еще раз логи (и HijackThis тоже!).
[edit]
PS. На всякий случай перед тем, как предпринимать дальнейшие действия, обновите а-вирусную базу вашего [I]Symantec AV[/I] через [I]LiveUpdate[/I] и сделайте скан всех дисков!
[FONT=Times New Roman][SIZE=3]Спасибо большое за советы, сделала, как было рекомендовано. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Значит так: На вирусы я просканировала с последней базой –абсолютно ничего Symantec не нашел. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Логии я новенькие высылаю, вроде ничего, особенного не поймал AVZ, кроме "вечного" mc21.tmp. [/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]TrojanHunter я не устанавливала и в трее его, разумеется, нет. Это и чувствовалось сразу, что-то неладное. Я в Инете немного поискала, что же это еще могло быть, так вот в [URL="http://www.viruslist.com/"][COLOR=#0000ff]www.viruslist.com[/COLOR][/URL] этот файл идентифицируется как : [/FONT][/SIZE][B][FONT=Arial]not-a-virus:Tool.Win32.Madtol.c[/FONT][/B][FONT=Arial] ([URL="http://www.kaspersky.com/"][COLOR=#0000ff]Kaspersky Lab[/COLOR][/URL]) is also known as: not-a-virus:[B]RiskWare[/B].Tool.Madtol.c ([URL="http://www.kaspersky.com/"][COLOR=#0000ff]Kaspersky Lab[/COLOR][/URL]). [/FONT]
[FONT=Arial] [/FONT]
[FONT=Arial]Может это какой-то [/FONT][FONT=Arial]Riskware[/FONT][FONT=Arial] подгрузился, хотя его [/FONT][FONT=Arial]AVZ[/FONT][FONT=Arial] не находит? [/FONT]
[B]memorex[/B], для начала я бы посоветовал вам деинсталлировать программу [I]NoAdware[/I] - отзывы об этой программе, существующей на сегодняшний день в целом сонме ипостасей (об этом м.б. напишу позднее :)), довольно плохие.
Также вполне вероятно, что источником этого неуловимого файла, [I]mc21.tmp[/I], является именно она. Я скачал ее только что, через 15 минут проверю, так ли это, и чуть позднее напишу...
Ага, щас удалю, она мне, кстати, самой надоела -жрет много оперативки и у меня почему-то по 10 атак на комп появляются. Тоже напишу, как дела обстоят. А какую прогу использовать как защиту от адварей?
Да, действительно, в появлении на вашем компьютере файла-фантома [I]mc21.tmp[/I] виновата программа [I]NoAdware[/I]. Для того, чтобы этот файл больше не появлялся, или щелкните пункт popup-меню '[I]Disable Real-Time Protection[/I]' этой программы в трее, или же просто удалите ее с вашего компьютера.
Как я уже сказал ранее, данная программа существует во многих ипостасях и под разными названиями ([I]Adware Hitman[/I], [I]Consumer Identity[/I], [I]Protect Your Identity[/I], [I]SpyBan[/I], [I]SpywareAssassin[/I], [I]Spyware C.O.P.[/I], [I]SpywareKilla[/I], [I]The Adware Hunter[/I], [I]TheSpywareKiller[/I], а теперь еще и [I]TrojanHunter[/I]). Все эти программы, имея разный интерфейс, пользуются одной и той же базой "зверья", а также, похоже, используют одинаковый движок (по крайней мере, эта история с вашим неуловимым файлом - точно такая же, как и на примере с [I]TrojanHunter[/I]), который написал программер-наемник [URL="http://www.webhelper4u.com/clones/bilalahmed.html"][I]Bilal Ahmed[/I][/URL]. В общем, все эти программы в своей основе - просто близнецы-братья! :)
[I]PS. Что касается хорошей программы для защиты от adware, то я бы посоветовал вам задать этот вопрос в соответствующем разделе форума: [URL="http://virusinfo.info/forumdisplay.php?f=42"]Spyware, Adware, Hijackers[/URL]. Что до меня лично, то я ничего не могу вам на это сказать, ибо просто не использую их и, соответственно, не знаю достоинств/недостатков. :)
PPS. К сожалению, сегодня уже не успеваю сделать то, что пообещал в своем сегодняшнем сообщении #29... :( Придется перенести обещание на завтра.[/I]
Спасибо большое. Сейчас удалила прогу, комп стал работать быстрее. завтра просканирую опять комп и сообщу результаты- сегодня не успею :-)
Огромное Вам спасибо! Я проверила с AVZ mc21 пропал, высылаю еще лог. Так что все нормально. Еще раз спасибо, очень благодарна за помощь.
Пришел ответ от VMS DrWeb (если кому ещё интересно...):
C:\Program Files\NoAdware4\noadwareutils.dll
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.NtRootkit.103
В смысле? То есть установила прогу для "защиты", и приехал вирус? Я от адварей сейчас Lavasoft Ad-aware опставила, надеюсь, что это не то же самое....
[QUOTE=Shu_b]Пришел ответ от VMS DrWeb (если кому ещё интересно...):
C:\Program Files\NoAdware4\noadwareutils.dll
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.NtRootkit.103[/QUOTE]
М-да, круто. Неслабый антишпион с руткитом.