Троян

Printable View

13.02.2008, 21:53
XBocT

Вложений: 1

Троян

Через ИЕ зашёл на какой-то сайт (сейчс не хочу смотреть историю на какой) , видимо на автомате скачался вирус. Сначала заметил незнакомый екзе на рабочем столе (ieupd2.exe) , потом стала лезть мишура : на рабочий стол поставилась обоина с ссылкой на какойто сайт (само сообщение на рабочем столе вроде "На вашем компьютере найден вирус , перейдите по ссылке чтобы просканировать его") , и справа внизу (я ламер , трей что ли называется)) появляются рандомные сообщения с почти тем же содержанием и ссылкой (адрес сайта antispywareupdate.net). Не даёт восстановить или открыть процессы средствами Винды. Панель управления вроде полностью рабочая.

Делаю логи по инструкции , в случае с пунктом 8 получается то что я приложил , с пунктом 10 - вообще ничего в папке LOG.
13.02.2008, 21:57
Макcим

Нужны логи AVZ (Вы прикрепили карантин) - они основные.
13.02.2008, 22:51
XBocT

Эм , проблема с вирусом перешла в проблему с логами AVZ...
14.02.2008, 00:55
wise-wistful

Попробуйте выполнить в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложению 3 правил по ссылке [url]http://virusinfo.info/upload_virus.php?tid=18014[/url]
Профиксите
[code]F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,C:\WINDOWS\system32\rxjddnvj.exe,
O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/code]

Удалите ConnectionServices - это адваре.
Попробуйте выполнить все логи.
14.02.2008, 15:40
XBocT

Скрипт выполнил , папку ConnectionServices удалил , необходимые строки в хиджаке пофиксил. Логи по стандартным скриптам 2 - не делается , 3 - создаётся папка virusinfo_cure.zip , её выслал.
14.02.2008, 15:52
wise-wistful

Сделайте ещё раз hijackthis.log

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

АВЗ переименовывать пробывали?
14.02.2008, 16:26
XBocT

Переименовывал. Лог Хиджака скидывать как прикрепление или в отправлять?
14.02.2008, 16:31
wise-wistful

Приктирипите здесь. Посылать по ссылке вверху страницы только карантин.
14.02.2008, 16:35
XBocT

Вложений: 1

Лог хиджака.
14.02.2008, 16:50
wise-wistful

Почти все на месте. Попробуем такой скрипт в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
DeleteFile('c:\windows\system32\wmedia32.exe');
BC_DeleteFile('c:\windows\system32\wmedia32.exe');
DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
BC_DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteSvc('partnershipreg');
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Профиксите
[quote]F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe,
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe[/quote]
Поищите при помощи АВЗ Сервис--поиск файлов на диске [b]TjEnder.exe[/b] и [b]LogCrypt.dll[/b] пришлите по правилам

АВЗ в защищённом режиме работает?
14.02.2008, 16:56
XBocT

Как включить защищённый режим?

Судя по всему скрипт не выполнился - где то на половине комп перезагрузился.
LogCrypt.dll (лежал в system32) отправил , TjEnder.exe не нашёл.
14.02.2008, 18:29
rubin

[quote]Как включить защищённый режим?[/quote]
При загрузке нажимать F8 - выбрать Safe mode

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

Скрипт тоже попробуйте в безопасном режиме выполнить...
14.02.2008, 19:11
XBocT

Скрипт в безопасном режиме выдал [invalid data for '']. Срипты для логов также не работают.
Эмм , тяжёлый случай?

Апд : Вирус перестал подавать признаки работы. winlagons.exe пропал из процессов. Исчезли сообщения об необходимости сканирования. Обои на столе не меняются. Осталось сообщение в експлорере при переходе от папки к папке.
14.02.2008, 19:17
rubin

[code]begin
QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
DeleteFile('c:\windows\system32\wmedia32.exe');
BC_DeleteFile('c:\windows\system32\wmedia32.exe');
DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
BC_DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteSvc('partnershipreg');
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
А так в безопасном режиме?
14.02.2008, 20:05
XBocT

rxjddnvj.exe пропал из system32

АПД: Последний скрипт в безопасном выдал ту же ошибку. Последняя запись в протоколе - Удаление каких-то остаточных файлов.
Ещё АПД: Пофиксились строки из постов 4 и 10 , которые раньше сами восстанавливались.

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

Появился пароль на пользователе 1122.
14.02.2008, 20:16
akok

Повторите лог посмотрим, что осталось
14.02.2008, 20:20
XBocT

Вложений: 1

Лог хиджака
14.02.2008, 20:21
akok

Попробуйте создать логи в AVZ (если получаться)
14.02.2008, 20:25
XBocT

Логи из АВЗ не получаются (в безопасном тоже).
14.02.2008, 20:40
akok

Давайте так
[url]http://virusinfo.info/showpost.php?p=80604&postcount=2[/url]

С помощью хиджака попытайтесь удалить службы
[b]Google Online Search Service
FCI[/b]

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
BC_QrFile('C:\WINDOWS\system32\mmmoxnox.dll ');
BC_QrFile('C:\WINDOWS\system32\winlagons.exe');
BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\WINDOWS\system32\mmmoxnox.dll');
BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_QrSvc('FCI');
BC_QrSvc('Google Online Search Service');
BC_DeleteSvc('FCI');
BC_DeleteSvc('Google Online Search Service');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18014[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Повторите логи (может даже AVZ запуститься)
Выполните перед созданием логов
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ExecuteRepair(12);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
14.02.2008, 21:52
XBocT

Всё сделал , логов всё равно не делается (в т.ч. в безопасном режиме). Последние записи во всех протоколах по созданию логов - "Выполняется исследование системы".
Карантин выслал.
15.02.2008, 14:21
rubin

[b]Trojan-Downloader.Win32.Winlagons.a[/b] c:\windows\system32\winlagons.exe
[b]Trojan-Dropper.Win32.Agent.elj[/b] c:\docume~1\1122\locals~1\temp\winlogon.exe
[b]Trojan-Downloader.Win32.Winlagons.a[/b] C:\Documents and Settings\1122\ie_updates3r.exe
[b]Trojan-Downloader.Win32.Winlagons.a[/b] C:\Documents and Settings\1122\Local Settings\Temporary Internet Files\Content.IE5\HJP0ZNO6\ieupdater[1].exe
[b]Trojan-Dropper.Win32.Agent.elj[/b] C:\Documents and Settings\1122\Local Settings\Temporary Internet Files\Content.IE5\K9UJCTQZ\200[1].exe
[b]Trojan-Downloader.Win32.Diehard.dz[/b] C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN\loader[1].exe
[b]Trojan-Downloader.Win32.Winlagons.a[/b] C:\Documents and Settings\1122\Local Settings\Temporary Internet Files\Content.IE5\K9UJCTQZ\ieupdater[1].exe
[b]Trojan.Win32.Agent.eub[/b] C:\WINDOWS\SYSTEM32\LogCrypt.dll
[b]Trojan-Downloader.Win32.Diehard.dz[/b] C:\WINDOWS\Temp\5d40f77hpf77a.exe
C:\WINDOWS\system32\mmmsztsz.dll - cвежий

[url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]
Скачиваете, действуйте по инструкции:
1. [url]http://avptool.virusinfo.info/ru/AVPTool_auto.htm[/url]
2. [url]http://avptool.virusinfo.info/ru/AVPTool_manual.htm[/url]
Прикрепите лог...

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

Плюс очистьте временные файлы IE
15.02.2008, 15:40
XBocT

Временные файлы очистил.
Пока пытался сделать лог и проверял автоматически Касперским:
1)Логи всё равно не делаются , в обычном режиме компьютер перегрузился и выдал системную ошибку на входе , в безопасном всё прошло нормально , Касперский дал ссылку где искать лог но лога там нет.

2)Авто проверка Касперского выдала 3 сомнения:
C:\WINDOWS\system32\AcroIEHelper.dll - Spoofer.Win32.Gogle.k
C:\WINDOWS\system32\socksys.dll//UPX - Trojan-Downloader.Win32.Agent.hnp
C:\WINDOWS\SYSTEM32\LogCrypt.dll - Trojan.Win32.Agent.eub
Сделал проверку ещё 2 раза , после удаления и перезагрузки не появлялись.
Пропали сообщения при переходе между папками.

3)Пока проверял Касперским забыл выключить НОД , нормально что он видит Касперского как вирус?

АПД: Нод показывает C:\WINDOWS\upkrqvqf.exe - Win32/TrojanDownloader.FakeAlert.AG троян. Не удаляю его.
15.02.2008, 15:45
wise-wistful

Да нормально что НОД так реагирует, только постарайтесь дальше так не рисковать.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Вы запускали полную проверку АВП тулом?
15.02.2008, 15:49
XBocT

Полная? Все диски тоже?

АПД: C:\WINDOWS\upkrqvqf.exe удалил , копию - в карантин АВЗ.
15.02.2008, 16:00
rubin

Все диски... верно.
Затем этим же AVPTool сделайте логи
15.02.2008, 21:43
XBocT

Проверил весь "С" (заняло 4 часа). D проверю завтра с утра.
На проверенном нашёл 49 находок (и примерно 20 из них вирусы в карантине).
Сбор лога в AVPTool прошёл полностью , подозрительные вещи - Ошибка доступа к драйверу [00000002]-[1] и сообщения в конце "Удаление <путь к логу>/LOG/avp_syscheck.xml и то же для avp_syscheck.html
Могу прикрепить только текстовый лог.
16.02.2008, 13:59
XBocT

Ап!
16.02.2008, 16:30
rubin

Эм.. как я понял avptool не создал логи?
Попробуйте сделать логи AVZ, она у Вас тоже есть
16.02.2008, 16:44
XBocT

Вложений: 1

короче вот что я смог выжать из АВЗ
22.02.2009, 03:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\ghijklmn\\loader[1].exe - [B]Trojan-Downloader.Win32.Diehard.dz[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\documents and settings\\1122\\ie_updates3r.exe - [B]Trojan-Downloader.Win32.Winlagons.a[/B] (DrWEB: Trojan.DownLoader.47222)[*] c:\\documents and settings\\1122\\local settings\\temporary internet files\\content.ie5\\hjp0zno6\\ieupdater[1].exe - [B]Trojan-Downloader.Win32.Winlagons.a[/B] (DrWEB: Trojan.DownLoader.47222)[*] c:\\documents and settings\\1122\\local settings\\temporary internet files\\content.ie5\\k9ujctqz\\ieupdater[1].exe - [B]Trojan-Downloader.Win32.Winlagons.a[/B] (DrWEB: Trojan.DownLoader.47222)[*] c:\\documents and settings\\1122\\local settings\\temporary internet files\\content.ie5\\k9ujctqz\\200[1].exe - [B]Trojan-Dropper.Win32.Agent.elj[/B] (DrWEB: Trojan.Packed.573)[*] c:\\documents and settings\\1122\\local settings\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Agent.elj[/B] (DrWEB: Trojan.Packed.573)[*] c:\\docume~1\\1122\\locals~1\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Agent.elj[/B] (DrWEB: Trojan.Packed.573)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.o[/B] (DrWEB: Trojan.BitAcc)[*] c:\\windows\\system32\\logcrypt.dll - [B]Trojan.Win32.Agent.eub[/B] (DrWEB: Trojan.DownLoader.46414)[*] c:\\windows\\system32\\mmmsztsz.dll - [B]Trojan-Downloader.Win32.Murlo.rd[/B] (DrWEB: Trojan.DownLoader.47257)[*] c:\\windows\\system32\\winlagons.exe - [B]Trojan-Downloader.Win32.Winlagons.a[/B] (DrWEB: Trojan.DownLoader.47222)[*] c:\\windows\\temp\\5d40f77hpf77a.exe - [B]Trojan-Downloader.Win32.Diehard.dz[/B] (DrWEB: BackDoor.Bulknet)[*] \\logcrypt.dll - [B]Trojan.Win32.Agent.eub[/B] (DrWEB: Trojan.DownLoader.46414)[/LIST][/LIST]