Вчера (19.0 ровно в 23.31 компьютер был просто завален троянами. Сегодня пришлось день потратить на выковыривание. В результате не получатеся выковырять последнего (надеюсь).
eTrust говорит, что вроде есть некий Cutwail.
В диспетчере видно, что идет процесс IEXPLORE.EXE, в то время, как ни одного окна не открыто. При этом очень лихо что-то качает в обе стороны по сети.
Логи от AVZ удалось сделать только в safemode, так как в нормальном режиме в какой-то момент компьютер просто перезагружался.
Лог от Hijack получился без проблем.
Помогите, пожалуйста.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта, компьютер перезагрузится.
После перезагрузки, пришлите попавшие в карантин файлы согласно правилам. (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Попытался выполнить скрипт в нормальном режиме. В результате произошла перезагрузка, судя по всему, преждевременно опять, так как в карантине есть только файлы, которые остались от предыдущего выполнения в safemode. После загрузки компьютера и подключения к интернету AVG выловил Trojan horse BackDoor.Generic7.XXD, имя файла 244046.exe, файл оказался в C:\Documents and Settings\L\Local Settings\Temp. Также XP выдало сообщение о критической ошибке и восстановлении. Зато теперь отсутствует активность в сети. Имеет ли смысл запускать скрипт еще раз, только теперь в safemode? Из всех файлов, указанных в скрипте сейчас на месте только два:
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
C:\WINDOWS\System32\DRIVERS\vsb.sys
Вот новые логи.
Логи AVZ снова удалось сделать только в safemode.
С логом Hijack все в порядке.
Когда перезагружался из safemode, то при загрузке антивирус ругался на файл C:\WINDOWS\system32\drivers\secdrv.sys
После того, как подключился к интернету, тут же появилась сетевая активность и антивирус выловил Trojan horse BackDoor.Generic7.XXD, имя файла опять состояло из набора цифр, размещение все тоже:
C:\Documents and Settings\L\Local Settings\Temp
После перехвата сетевая активность прекратилась.
Файлы отправил.
Во время исполнения скрипта краем глаза заметил, что пару раз мелькала ошибка прямого чтения, но все было слишком быстро, подробности не успел углядеть.
Пока никаких проявлений подозрительной активности не наблюдается.
Но eTrust выдает следующий результат сканирования:
Cutwail G
File: C:\WINDOWS\Temp\startdrv.exe {самого файла в папке я не вижу}
Key: hkey_local_machine\software\microsoft\windows\curr entversion\run
Cutwail L
Key: hkey_local_machine\system\currentcontrolset\servic es\runtime
Cutwail T
Key: hkey_local_nachine\system\currentcontrolset\enum\r oot\legacy_runtime
Key:hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
Выполнил скрипт от Muzzle.
Компьютер перезагрузился, выдал сообщение "Система восстановлена после серъезной ошибки", хотя восстановление системы отключено, крашнулся, выполнил CHKDSK, перезагрузился, два раза выдал сообщение о восстановлении, после чего успокоился.
Лог Hijack сделал, в нем не оказалось строчки
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
видимо, AVZ это зачистил.
eTrust все еще выдает при сканировании:
Cutwail L
Key: hkey_local_machine\system\currentcontrolset\servic es\runtime
Cutwail T
Key:hkey_local_nachine\system\currentcontrolset\en um\root\legacy_runtime
Key:hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
но похоже, что это уже ни на что не влияет.
Спасибо за замечание по поводу софта, хозяйство досталось по наследству, даже не обращал внимание, что XP SP1, а не 2. Как всегда, руки не доходили, пока все работало. Придется вплотную занятся вопросом.
Этот ключик пожалуй надо удалить (целиком):
hkey_local_machine\system\currentcontrolset\servic es\runtime
Удалось удалить без проблем.
А вот оставшиеся два ключа
hkey_local_nachine\system\currentcontrolset\en um\root\legacy_runtime
hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
в нормальном режиме не удаляются вообще. Может их и не трогать? Или попробовать в safemode и их прибить?
Не удается даже в safemode.
Интересно, что AVZ при поиске данных в реестре "не видит" эту часть реестра, то есть глубже чем
hkey_local_machine\system\currentcontrolset\enum
поиск не происходит, может так и задумано?
Но все это уже из спортивного интереса, так как никакой троянской активности больше не наблюдается, антивирусами ничего не находится.
Большое всем спасибо за помощь и участие.
оставшиеся два ключа
hkey_local_nachine\system\currentcontrolset\en um\root\legacy_runtime
hkey_local_machine\system\currentcontrolset\en um\root\legacy_runtime2
в нормальном режиме не удаляются вообще. Может их и не трогать?
Плюнуть и забыть. Там особые права стоят. И вместе с ключами ещё что-то надо удалять. Строчки из какого-то REG_MULTI_SZ.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: