Показано с 1 по 17 из 17.

VBS.PackFor - что за зверь? (заявка № 10444)

  1. #1
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62

    Exclamation VBS.PackFor - что за зверь?

    1. Пришло письмо с Яндекса, где у меня есть сайт.

    /index.htm : infected with VBS.PackFor
    /RQDP/index.html : infected with VBS.PackFor
    итд

    при проверке других моих сайтов оказалось, что многие файлы
    index.htm,index.htmд,index.php заражены - в начало добавлена строчка

    <script language=JavaScript>function sban(x){var l=x... blah blah...
    при проверке AVZ этих файлов никаких предупреждений не выдается.

    означает ли это, что какой-то троян упер пароли к ftp и отредактировал эти файлы или он это сделал как-то по другому?

    2. Пытался провести проверку спомощью AVZ (v 4.25 ,база от 16.06)
    В какой-то момент выскакивает bsod (или что там под XP)
    на котором только можно разобрать
    stop 0x0000008E
    fastfat.sys address F845ACE6

    Пришлось загрузиться в safemode там все нормально вылечилось.


    в карантине помимо прочего secdrv.sys -7680b
    ksys.sys - 3712
    C:\WINDOWS\Temp\startdrv.exe - 19968
    WBR, Andrew

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Логи в безопасном не создаются?

  4. #3
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Логи в безопасном не создаются?
    создаются, и не один раз, поэтому последний уже пустой, все пофикшено.
    из интересного только
    -------
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    -------
    WBR, Andrew

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    в карантине помимо прочего secdrv.sys -7680b
    ksys.sys - 3712
    C:\WINDOWS\Temp\startdrv.exe - 19968
    несотносится с
    создаются, и не один раз, поэтому последний уже пустой, все пофикшено.
    Давайте логи.
    Почитайте статью и комментарии
    Злобные хакеры или беспечные юзеры?
    Алиса 21 февраля 2007 | 13:20 MSK
    на http://www.viruslist.com/ru/weblog

  6. #5
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    несотносится с

    Давайте логи.
    Почитайте статью и комментарии на http://www.viruslist.com/ru/weblog
    имеется в виду avz_log.txt, а в карантине что-то есть конечно.
    сейчас попробую hijack еще запустить и лог заслать.

    Спасибо за ссылку, ну я так и думал, что троян через фтп правит файлы. К паролям на фтп добавил пару букв, которые буду добивать вручную к старым паролям которые вписаны в фтп клиенте.
    Вложения Вложения
    Последний раз редактировалось drongo; 17.06.2007 в 10:51.
    WBR, Andrew

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Запостите логи по правилам http://virusinfo.info/showthread.php?t=1235
    По логу хайджека видны следы заражения.
    Выполните пункт 2 правил в безопасном режиме.
    АВЗ - AVZPM - установить - перезагрузиться, снова попытаться сделать логи.
    Пофиксить:
    Код:
    O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll (file missing)
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O20 - Winlogon Notify: msssmsda- - C:\WINDOWS\System32\msssmsda.dll (file missing)
    O20 - Winlogon Notify: pptp32 - C:\WINDOWS\
    O20 - Winlogon Notify: pptp32- - pptp32.dll (file missing)
    Скачайте WinsockFix, может пригодиться.
    Последний раз редактировалось Alex_Goodwin; 17.06.2007 в 04:32.

  8. #7
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Запостите логи по правилам http://virusinfo.info/showthread.php?t=1235
    ...
    [/code]
    Скачайте WinsockFix, может пригодиться.
    ниасилил ;( В безопасном режиме тоже в какой-то момент выскочил bsod при выполнении первого скрипта.
    Попробую вручную реестр прошерстить и пофиксить что вы сказали.
    Спасибо.
    WBR, Andrew

  9. #8
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Ну ситуация такая:
    1. При попытке выполнить скрипты вываливается в синий экран (XP)
    поэтому прислать логи не могу.
    Перед тем как вывалиться успел заметить какие-то красные записи про руткит. Вообще наверное надо сохранять лог построчно, а не после завршения всей проверки. Тогда хоть следы останутся.

    Это происходит также при попытке
    запустить сервис AVZ "модули пространства ядра".


    1.1 Прошелся drwebcure-it, нашел несколько троянов, всех поудалял.
    лог есть.

    2. Почикал все из реестра что смог.
    Ветки сохранил, могу прислать.

    3. В system32 нашел файлы со вчерашней позавчерашней датой.
    sys, exe, dll. заархировал и удалил под досом.
    среди них sysdrv1.exe .
    Могу прислать архив.

    При просмотре процессов присутствует строчка
    System 4 ?? ошибка получения информации о файле
    Командная строка:


    чтобы еще такого сделать?
    WBR, Andrew

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    IMHO, тот случай, когда систему целесообразнее переставить, нежели лечить:
    Код:
    Platform: Windows XP  (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Это не жилец по определению. Надо переставлять на SP2 + под сотню критических заплаток после.

    Файлы, конечно же, пришлите. Хорошо бы ещё докопаться до поганого руткита. Хотя бы для того, чтобы опознать. Попробуйте ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe
    Если не поможет - остаётся вариант загрузки с компакт-диска или цепляния винчестера к чистой системе.

  11. #10
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от pig Посмотреть сообщение
    ...
    Если не поможет - остаётся вариант загрузки с компакт-диска или цепляния винчестера к чистой системе.
    Так а толку, у меня вторая Win98 стоит на винче, я с нее грузился там все нормально. Там руткит не грузится в память , так и на диске его найти не могут, ни AVZ, ни CureIt.
    Систему переставлять пока неохота, проверю еще через какое-то время.
    А куда файлы переслать?
    WBR, Andrew

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от diakin Посмотреть сообщение
    Так а толку, у меня вторая Win98 стоит на винче, я с нее грузился там все нормально. Там руткит не грузится в память , так и на диске его найти не могут, ни AVZ, ни CureIt.
    Проверьте более продвинутым CureIt. Он, правда, только по-английски разговаривает, но видит и борет гораздо больше.

    Цитата Сообщение от diakin Посмотреть сообщение
    А куда файлы переслать?
    Ссылка "Прислать запрошенные файлы" между шапкой форума и сообщениями.

  13. #12
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от pig Посмотреть сообщение
    Проверьте более продвинутым CureIt. Он, правда, только по-английски разговаривает, но видит и борет гораздо больше.


    Ссылка "Прислать запрошенные файлы" между шапкой форума и сообщениями.
    Хорошо, спасибо. Файлы уже послал. Там все что было в папке system32 с новыми датами.

    Прогнал новым CureIt. Говорит нашел два трояна
    logonui.exe и userinit.exe. Incurable.moved - это что значит?
    Посмотрел - сами файлы на месте.
    WBR, Andrew

  14. #13
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    10
    Вес репутации
    62
    Цитата Сообщение от diakin Посмотреть сообщение
    ...
    Прогнал новым CureIt. Говорит нашел два трояна
    logonui.exe и userinit.exe. Incurable.moved - это что значит?
    Посмотрел - сами файлы на месте.
    У-у-у....Что-то он перестарался. Я распаковал эти файлы из дистрибутива XP - он и там нашел вирусы. Похоже false positive.
    Последний раз редактировалось diakin; 18.06.2007 в 03:09.
    WBR, Andrew

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    atixdaxx.dll - Trojan-Downloader.Win32.Agent.bty,
    atixdbxx.sys - Trojan-Spy.Win32.Goldun.pn,
    sysdrv1.exek - Trojan-PSW.Win32.LdPinch.bex

    и попробуйте такой вариант создания логов
    http://virusinfo.info/showthread.php...905#post115905

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от diakin Посмотреть сообщение
    У-у-у....Что-то он перестарался. Я распаковал эти файлы из дистрибутива XP - он и там нашел вирусы. Похоже false positive.
    Отошлите эти файлы на http://support.drweb.com/sendnew/. В комментарии укажите, что попали под нож именно бета-версии. А какими словами, помимо Incurable, ругается?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Нод не стоит? Если стоит попробуйте деинсталить - логи могут создаться.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. \\virus\\atixdaxx.dll - Trojan-Downloader.Win32.Agent.bty (DrWEB: Trojan.PWS.Finanz)
      2. \\virus\\atixdbxx.sys - Trojan-Spy.Win32.Goldun.pn (DrWEB: Trojan.NtRootKit.273)
      3. \\virus\\sysdrv1.exe - Trojan-PSW.Win32.LdPinch.ddl (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) diakin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Что за зверь?
      От mellomann в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.01.2012, 21:54
    2. sp**.sys - что это за зверь?
      От ken_guru в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.09.2009, 20:27
    3. VBS.PackFor.2 на многих сайтах. Помогите.!!!
      От zxxx в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.01.2008, 01:38
    4. Есть ли в скрипте форума Fireboard VBS.PackFor.2 ?
      От ohotnik в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.01.2008, 00:47
    5. VBS.PackFor-Worm.sifilis-Trojan.packed.147
      От Alcur в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.11.2007, 14:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01536 seconds with 17 queries