Помогите определить, что за тварь...

Printable View

28.03.2008, 16:06
Topine

Помогите определить, что за тварь...

Мужики, дело такое:

ВПЕРВЫЕ за 6 безоблачных лет я словил какую-то гадость! Назвал это "Судный день - восстание машин" =)

Словил так, что на этот раз немогу отловить.. Вобщем при загрузке винды выкидывается окошко - мол "хочу в инет!" и кнопки "работать автономно" и "подглючиться" - жму автономно - пропадает, далее опять "хочу в инет!" и так 5-8 окошек подряд... PS: Естественно не прям "хочу в инет", а гуманно - по-майкрософтовски.. похоже на родное. думаю это и есть родное сообщение.

Значит Process Explorer показывает вот что:

Все вирусы казнил сначала NODом (2 штуки), потом последним Dr.Web (98 штук) - у обоих новые базы. Делайте выводы!

Сделал очистку реестра (Reg Supreme Pro)

Что ещё-то? Что вызывает подключение к инету? Как это убрать? Перестановку ОС не предлагать.

Кстати, стоит Outpost Firewall тоже последний.. Так вот.. минут 15 работает, потом вешает весь инет. Навожу на значёк в трее, а он мёртвый (чёрный и надпись что-то вроде "неактивен" или "не может быть чё-то там") Вобщем я пока его снёс.. Тоесть такое чувство, что какая-то падла ещё и фаэр мой убивает!

В автозагрузке ничего подозрительного не нашёл.

Помогите!

PS: Не получается прикрепить логи. вставляю, нажимаю "загрузить" и мне пишет:

[I][B]вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.[/B][/I]

Вот логи, сделанные по всем правилам:

virusinfo_syscheck.zip (_ttp://slil.ru/25629906)
virusinfo_syscure.zip (_ttp://slil.ru/25629904)
hijackthis.log (_ttp://slil.ru/25629900)
28.03.2008, 16:07
Гриша

:rtfm:[url]http://virusinfo.info/showthread.php?t=1235[/url]
29.03.2008, 00:22
Topine

Всё сделал, пардон!
29.03.2008, 01:04
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\10.tmp','');
QuarantineFile('D:\Software\Desktop changer\wdc.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\Software\uICE\devices\pcidrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys','');
QuarantineFile('C:\WINDOWS\system32\pr2anrjb.exe','');
QuarantineFile('C:\WINDOWS\system32\SSMS.EXE','');
QuarantineFile('C:\WINDOWS\system32\winmgnt.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ps7anrjb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe3anrjb.sys','');
QuarantineFile('C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\Temp\10.tmp');
DeleteFile('C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=20596[/url] ).

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe[/code]
Если Вы не добавляли в файл Hosts строчку 81.177.17.70 u1.eset.com или Вам она незнакома, то пофиксите еще:
O1 - Hosts: 81.177.17.70 u1.eset.com

Сделайте новые логи.
29.03.2008, 12:43
Topine

[B]kps[/B], всё сделал по пунктам, спасибо. Подключение к инету при загрузке пропало (что же это было такое? ntos?). Ещё не проверял фаэрволл на убиваемость. Буду тестировать.

PS:
Код [B]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe[/B]

не нашёл после выполнения Вашего скрипта. Файл [B]userinit.exe[/B] остался (с Microsoft'овской подписью), а [B]ntos.exe[/B] не нашёл.

Вот новые логи:
30.03.2008, 11:25
Topine

Фаэрволл не глючит уже сутки =)
Что-нибудь ещё подозрительное есть в логах?
30.03.2008, 12:44
V_Bond

C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll [B]Trojan-Downloader.Win32.Agent.lsw[/B]
C:\WINDOWS\Temp\10.tmp [B]Trojan-Downloader.Win32.zlob.jbe[/B]
удалите временные интернет файлы ...
winmgnt.exe - поищите при помощи авз и пришлите согласно приложения 3 правил ...
выполните скрипт ...
[code]
begin
BC_DeleteSvc('COMSS');
BC_Activate;
RebootWindows(true);
end.
[/code]
30.03.2008, 16:59
kps

sdpiosys.sys - [b]Rootkit.Win32.Agent.agw
[/b] - свежий.

Выполните еще такой [url=http://virusinfo.info/showthread.php?t=7239]скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sdpiosys.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Сделайте и прикрепите новые логи.
31.03.2008, 00:02
Topine

Всё выполнил.

Файл [B]winmgnt.exe[/B] не нашёл AVZ. Нашёл поиском - оказалось, что он в зашифрованном архиве в карантине у старого SpyBot. Я его когда-то удалил, а "какашки" он после себя оставил-таки.

Удалил всё, что осталось от SpyBot'а (вместе с архивом, где [B]winmgnt.exe[/B] - пароль-то всё-равно не знаю)

Ещё что-нибудь плохое?
31.03.2008, 10:22
wise-wistful

Раз winmgnt.exe удалён, почистим следы. Выполните в АВЗ

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winmgnt.exe');
BC_ImportDeletedList;
BC_DeleteSvc('NETDDEC');
BC_DeleteSvc('COMCSVC');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Как система. Врагов вроде бы больше не видать. Очистите временные интернет файлы.

[quote]MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)[/quote]
Как-то не актуально. Internet Explorer v7.00 - это актуальная версия, желательно установить + все критические обновления.
31.03.2008, 11:33
Topine

Да, система в порядке. Спасибо большое всем!
Только иногда система подтормаживает почему-то.. Spider Guard выключен, выгружен, деактивирован...

[QUOTE]Как-то не актуально.[/QUOTE]
Да дело в том, что я пользуюсь Mozilla. А Explorer мне не интересен. вот я его и не трогаю...
31.03.2008, 11:37
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
31.03.2008, 11:45
wise-wistful

Вы то его может и не трогаете, но некоторые программы трогают, хоть Вы об этом и не подозреваете. Так что не мешало бы прикрыть эту "дырочку" в безовасности.
01.04.2008, 00:50
Topine

Ясно. Всем ОГРОМНОЕ!!! спасибо! Отзыв оставлю по-любому! Всем знакомым Вас рекомендовал!
Уважение!
05.04.2008, 19:38
Topine

Ребята, а что это за файл такой? Процесс не убивается.

[URL=http://ipicture.ru/][IMG]http://ipicture.ru/uploads/080405/OasFVyD9uk.jpg[/IMG][/URL]

[URL=http://ipicture.ru/Gallery/Viewfull/1214644.html][IMG]http://ipicture.ru/uploads/080405/thumbs/MdRGGCkl5p.jpg[/IMG][/URL]

Нашёл только здесь:
[URL=http://ipicture.ru/Gallery/Viewfull/1214579.html][IMG]http://ipicture.ru/uploads/080405/thumbs/S3Kwue9TWu.jpg[/IMG][/URL]

Вобщем этот процесс я наблюдал ещё при первом обращении к Вам, так что, думаю логи делать не обязательно.

Этот файл я, как есть заZIPовал с паролем [B]virus
[/B]
05.04.2008, 19:46
Alex_Goodwin

файл нам отправлен?
05.04.2008, 20:06
V_Bond

присланный файл чистый ...
Wireless адаптер у вас есть ? это скорее от него ...
05.04.2008, 21:50
Topine

Alex_Goodwin
Да, отправлен через "запрошенный карантин"

V_Bond
Wireless адаптера точно нету. Никакого доп оборудования..
05.04.2008, 21:59
V_Bond

Wifi у вас точно нет ... ?
06.04.2008, 14:26
Topine

WiFi ТОЧНО нет
06.04.2008, 14:51
kps

Ответ вирлаба по поводу Вашего файла:
[quote]ACS.EXE-13EEF194.pf

Этот файл с чист.
pf-файлы создаются Windows и существуют для быстрого доступа к часто запускаемым программам
Нам на исследование следует присылать файлы, на которые ссылается pf-файл,
например, есть файл FILE.EXE-399A8E72.pf, посылать следует FILE.EXE
[/quote]
07.04.2008, 00:56
Topine

Так дело в том, что "ACS.EXE" НЕ НАХОЖУ в системе! А в процессах он есть (сами видите)!
07.04.2008, 02:37
pig

Попробуйте такой скрипт:
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('acs.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Если файл попадёт в карантин, то пришлите.
07.04.2008, 12:06
PavelA

Файлики надо искать через AVZ. проводник виндусовый их может не показывать.
08.04.2008, 20:21
Topine

Прикол.. Нет такого файла нигде.. в процессах есть, как всегда, а на диске через AVZ искал - нету. Причём искал так: acs.exe, а(русская)c(латинская)s.exe и наоборот - нету!
08.04.2008, 21:03
V_Bond

в первых ваших логах не было аутпоста .... не было и процесса ...
зате появился аутпост появился процесс ... есть такой там ...
08.04.2008, 22:36
Topine

V_Bond
Вы монстр! Действительно так и есть! Спасибо =)
Прям не знаю что и сказать =)
22.02.2009, 04:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\installer\\{d7c88581-a5ad-41f5-986d-2a963e850500}\\alrtcheck.dll - [B]Trojan-Downloader.Win32.Agent.lsw[/B] (DrWEB: Trojan.Click.18023)[*] c:\\windows\\temp\\10.tmp - [B]Trojan-Downloader.Win32.Zlob.jbe[/B] (DrWEB: Trojan.DownLoader.56347)[/LIST][/LIST]