Trojan.Virtumod с друзьями...

Проверил CureIT! - нашелся kdcsv.exe, опознанный как Trojan.Virtumod.based.22.

Обнаружил, что вместо "родных" DNS стоят ip из диапазона 85.255.112.0-85.255.127.255 (Одесса, Укртелеком). Забанил в файрволе. Пофиксил.

AVZ создал только virusinfo_cure.zip. Остальные логи не созданы. У Symantec EndPoint Protection 11 отвалилась Автоматическая защита файловой системы.

Одним местом чувствую, что не только Virtumod сидит у меня. Как говориться, Need help.

Лог HijackThis в комплекте.

Пробуйте этот AVZ [url]http://depositfiles.com/files/5k0qihqas[/url]

[quote=Гриша;340251]Пробуйте этот AVZ [URL]http://depositfiles.com/files/5k0qihqas[/URL][/quote]

Точно такой же результат.... только virusinfo_cure.zip :sad:

Outpost установлен?

[quote=Гриша;340277]Outpost установлен?[/quote]

Установлен Symantec EndPoint Protection 11.
(Защита от вирусов и программ-шпионов, Превентивная защита от угроз, Защита от угроз из сети.)
На время проверки выключал его.

Может снести SEP и по-новой прогнать?

Попробуйте...

[quote=Гриша;340283]Попробуйте...[/quote]

К сожалению, удаление SEP не исправило ситуацию... :-)

Более того, пытаюсь выполнить Исследование системы - в AVZ выпадает ошибка - Invalid data type for "

Сделайте полную проверку AVPTool, а заодно и лог в ней попробуйте сделать...

[quote=Гриша;340311]Сделайте полную проверку AVPTool, а заодно и лог в ней попробуйте сделать...[/quote]

Ну из логов получилось только <AVZ_CollectSysInfo> вытянуть...

Удалено 36 тел вирусов... Около 15 из них, из карантина SEP и Dr.Web/
Не зря чуствовал :-)

Логи: до... и после проверки.

Вы пробовали создать лог с помощью AVPTool в обычном режиме? То что вы прикрепили нам не нужно...

[quote=Гриша;340467]Вы пробовали создать лог с помощью AVPTool в обычном режиме? То что вы прикрепили нам не нужно...[/quote]

После проверки AVPTool говорит, что файл создан в LOG\ ... а там -пусто :-(

Гриша, если Вы не против.... Отложим до четверга... Не хочу вас напрягать... да и у меня уже 23:10... Охрана универа на меня косит лиловым глазом....

P.S.: Топик не закрывайте... пжлста.

Ок, придумаем что-нибудь :)

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]var
AVZLogDir : string;
begin
AVZLogDir := GetAVZDirectory + 'exit\';
CreateDirectory(AVZLogDir);
// SearchRootkit(true, true);
CheckSPI;
SearchKeylogger;
ExecuteSysChkEV;
ExecuteSysChkIPU;
ExecuteWizard('TSW', 1, -1, false);
SetupAVZ('EvLevel=3');
SetupAVZ('ExtEvCheck=Y');
RunScan;
ExecuteSysCheckEX(AVZLogDir+'readme.txt', $FFFFFFFF, true, 1+2+16+32);
end.[/CODE]

readme.txt появился?

Не появился файл readme.txt... Вместо папки LOG - папка exit :-(

А в ней пусто?

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer[/URL]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86FD91F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86A3A500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86A3A500 -> перехватчик не определен



Это так-то может повлиять?

Я написал что сделать...

[quote=Гриша;341820]А в ней пусто?

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer[/URL]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.[/quote]

В папке абсолютно пусто. Лог Gmer'a в комплекте.

загрузите себе эту утилиту:
[url]http://live.sysinternals.com/autoruns.exe[/url]
Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению

[quote=vaber;341862]загрузите себе эту утилиту:
[URL]http://live.sysinternals.com/autoruns.exe[/URL]
Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению[/quote]

Сделал...

[quote=an-mag;340435]Н
Удалено 36 тел вирусов... Около 15 из них, из карантина SEP и Dr.Web/
Не зря чуствовал :-)[/quote]
не могли бы Вы прикрепить лог из AVPtool, где перечислены все обнаруженные вирусы и в каких файлах?
PS. Так же не мешало бы деинсталлировать эмулятор дисков Alcohol и после перезагрузки попрбовать сделать логи еще раз AVZ

[quote=vaber;341887]не могли бы Вы прикрепить лог из AVPtool, где перечислены все обнаруженные вирусы и в каких файлах?
PS. Так же не мешало бы деинсталлировать эмулятор дисков Alcohol и после перезагрузки попрбовать сделать логи еще раз AVZ[/quote]

...логи ушли безвозвратно, но вот выборка... что успел записать:

Trojan.Virtumod.based.22
Trojan.Win.32.DNSChanger.dqm
Trojan.Win.32.DNSChanger.bov
Email-Worm.Win32.VB.g
AdWare.Win32.Craagle
Backdoor.Win32.Rbot.ytg

Это Доктор Веб и SEP 11 в основном постарались...

Ок...Сейчас казню Алкоголь.

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

[quote=vaber;341887]не могли бы Вы прикрепить лог из AVPtool, где перечислены все обнаруженные вирусы и в каких файлах?
PS. Так же не мешало бы деинсталлировать эмулятор дисков Alcohol и после перезагрузки попрбовать сделать логи еще раз AVZ[/quote]

CloneCD, Alcohol удалил - результат тот же :-) ... только virusinfo_cure.zip...

Хотя простейшая cmd->ipconfig /all >> h:\ipconfig.txt выполняется без проблем... файл создается...ошибки записи на диск, из-за отсутствия прав нет... Администратор в домене. GPO проверил... Для подстраховки вырубал политики на время проверки...

P.S.: AVZ и в нормальном виде и в полиморфе пробовал... AVPTool вообще ничего не находит и дает ссылку LOG\avptool_syscheck.zip - а там пусто :-(

[size="1"][color="#666686"][B][I]Добавлено через 1 час 43 минуты[/I][/B][/color][/size]

Григорий, Василий - отложим до 2 февраля... Поздно уже... Охрана мне клизму приготовила... им пофиг на индульгенцию от проректора :-)

Запустите AVZ.exe.
Нажмите кнопку "Пуск". Когда проверка будет закончена, выберите меню "Файл" - "исследование системы" - выберите "все службы и драйверы" - "Пуск" и в появившемся окошке сохранения протокола наберите свое имя файла протокола,например test.htm и сохраните в каком-нибудь каталоге. Если протокол будет сохранен - прикрепите его к теме.