Ad "из китая"

Симтомы: на всех сайтах появляется AD с иероглифами. Скорее всего этот вирус делает инъект в http трафик и в каждую загружаемую страницу "вписывает" в начало код для загрузки с [COLOR=red][BLOCKED][/COLOR] жаваскрипта. Также был обнаружен порт который "слушает" 195.108.95.30 и возможно использует его для загрузки "остальных" частей.
С помошью AVZ была найдена "служба" runtime2.sys

Файл из карантина который создал 3-й скрипт был загружен на сервер: Файл сохранён как080118_083446_virus_4790b90623832.zipРазмер файла1639MD54f860e2faf828af7562540ddf81822b7
через [URL]http://virusinfo.info/upload_virus.php[/URL]

Пока что выполняю пункты правил - вложения чуть позже
В качестве временного решения и для того чтобы не заразится повторно сайты внес в блеклист на прокси и в блокировщик содержимого MYIE

Чужие скрипты выполнять вредно и опасно. За их последствия на Вашей машине мы ответственности нести не можем.

Вложения с относительно "подлеченного" сервера

программы для Nokia установлены ?
в чем сейчас проявляется проблема ?

да установлены для мобилки. Я сейчас сканирую рабочие станции чтобы найти "живой" вирус. Он точно есть ...
не совсем понятно как избежать повторного заражения. Пока успел просканировать 18/70 рабочих станций. Попутно АVZ нашел и удалил несколько других троянов. Была ситуация когда уже пролеченный комп "цепляет" из интернета этот вирус снова :(

с помошью system repair ingineer был найден странный active-x
{33564D57-0000-0010-8000-00AA00389B71}

[QUOTE=MAG;174577]да установлены для мобилки. [/QUOTE]
больше тогда не вижу ничего подозрительного в логах ..

Опять фиксируются попытки доступа на этот сайт с 2-х машин. И мой сервер опять его поймал :(
Теперь вирус идет с другого поддомена этого сайта и теперь адшка всплывает слева. Забавно когда слева адшка и справа :)
Логи с 1-й машины

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINNT\system32\ssgb1mon.dll','');
QuarantineFile('C:\WINNT\alogin.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)[/CODE]
Загрузите карантин согласно приложению №3 правил.

Файл сохранён как 080123_021534_virus_4796f7a6e40e9.zip
Размер файла 34653
MD5 aa1595ce9fa3bd1001766244cec17c95

скрипт выполнил
Пофиксил

Внешнее проявление вируса

Скачайте [URL="http://download.sysinternals.com/Files/ProcessExplorer.zip"]Process Explorer[/URL]. Нажмите на значок прицела, потом на окно "AD". Что покажет программа? Действительно ли окно принадлежит браузеру? Логи делали с запущенным браузером?

Да с запущенным. При постановке на закачку зип архива эта зараза подставила свой setup.exe :(
По видимому вирус инъектится в http трафик и делает что хочет :(
Скачал процесс експлорер.. Дождался пока высветится ад нажимаю на прицел, на ад и процесс експлорер показывает что это окно интернет експлорера :(

Может стоит сделать скан с интернет експлорером у которого высвечена АД?

[QUOTE=MAG;176981]Может стоит сделать скан с интернет експлорером у которого высвечена АД?[/QUOTE]Да, пожалуй. А как идет трафик с зараженного компьютера? По локалке? Может инжект совершает не на этом компьютере? Когда возникла проблема?

трафик по локалке через прокси. Прокси ИИС вроде но у меня доступа туда нет. Если б вирус был там тут бы вся организация орала, т.к была зараженной. А так у кого-то есть у кого-то нет этого вируса. Единственное решение которое я вижу это переустановить свой сервер, и на нем для той части локалки которую я обслуживаю запретить ТОТ сайт.
Вопрос а есть шанс этот сайт прикрыть? SmartWhois показывает что эта этот сервер находится в китае провинция Sichuan.

CHINANET Sichuan province network
China Telecom
A12,Xin-Jie-Kou-Wai Street
Beijing 100088


CHINANET SICHUAN
No.72,Wen Miao Qian Str Chengdu SiChuan PR China
+86-28-86190657
+86-25-86190641
[email][email protected][/email]

просто у меня нет опыта составления таких "кляуз" :(

Шанс есть (на нахождение заразы). Есть примерный план. Только четко отвечайте на мои вопросы. Когда или после чего появилась проблема?

Все началось вероятно еще в декабре:
(нод32 всегда с последними базами)
28.12.2007 15:14:39 IMON модифицированный Win32/TrojanDropper.Agent.NHB троян -пользователь нажал блокировать
15.01.2008 11:07:28 ТОТ сайт IMON вероятно модифицированный Win32/Genetik троян - блокировано.
16.01.2008 11:12:22 ТОТ сайт путь тотже модифицированный Win32/Xorer вирус
17 утром появилась адшка. Нашел в инете что это вирус попытался удалить с помошью System Repair Engineer 2.5 - нашел службу RUNTIME2.SYS
при попытке удалить высветило:
17.01.2008 15:12:36 AMON файл C:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS Win32/Rootkit.Agent.EY троян Ошибка при очистка - действие недоступно для этого типа объекта VT-SERVER\vt-admin Событие при попытке доступа к файлу приложением C:\3\SREngPS.EXE.
Поискал в инете ссылки про RUNTIME2.SYS нашел что вирус нашел что есть АВз и какие-то скрипты (незнал что они уникальные). Выполнил. Служба сейчас не видна
Ад есть не на всех сайтах (появляется редко).

поищите при помощи авз tga.sys ... если найдется пришлите по правилам ..

поиск на дисках tga.sys с помошью AVZ - результатов 0
В реестре найдены ключи. Файл с ключами :
Файл сохранён как 080124_020520_virus_479846c099808.zip
Размер файла 269
MD5 68523d8bd90311af000a3ef927631e67

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Сделал поиск по RUNTIME2.SYS в реестре - куча хвостов осталось - высылать результаты поиска?

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
BC_DeleteSvc('RUNTIME2.SYS');
BC_Activate;
RebootWindows(true);
end.[/CODE]Хвосты зачистятся.

Незачистились. Опять нaшлись поискам в реестре через AVZ. Удалил сам эти ключи через AVZ.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]