W32.Rahack

[lor]

http://virusinfo.info/index.php?boar...ay;threadid=20 если всеми прогами уже сканировал, то сделай лог, и запость в новую тему

Попытался сделать всё о инструкции. 1) я не могу отключить восстановление, т.к. при попытке заглянуть в свойства Системы, также как и при порытке запуска других приложений возникает ошибка: This file doesn't have a program assosiated with it for perfoming this action. Create an assosiation in the Folder Options control panel.
2) в Safe Mode не удаётся запустить рекомендованные программы, появляется ошибка, мол данное приложение не может работать в безопасном режиме.

P.S. раньше при запуске приложения появлялось окошко с выбором программ для запуска, потом просто не происходило никаких действий, а сйчас возникает ошибка ассоциаций. мутант какой-то.

[Geser]

А HijackThis запускается?

[pig]

Взять систему, наиболее близкую по конфигурации, в крайнем случае - свежеустановленную. Экспортировать ветку реестра HKEY_CLASSES_ROOT в текстовый (REG) файл и попытаться этот файл импортировать на поломатой машине. Базовые ассоциации должны починиться.

[lor]

Вообщем ребят, мне удалось таки восстановить систему из образа, но повторяю, на мой взгляд необходимо найти решение проблемы. С первого взгяда безобидный Rahack устроил полную.... на моём компьютере.

[pig]

Снесите Radmin. Поставьте файрвол. Поставьте заплатки. Обновите антивирус. Это решение где-то на 90%.

P.S. Безобидным был Янки Дудль. Есть ли сейчас что-то безобидное, не знаю. Скорее всего, нет - безвредные концепты делал один Бенни, а он сменил профиль работы.

[lor]

Итак. Творятся очеень странные вещи. По порядку:
1) значит бэкапил я систему из образа
2) поставил файервол, обновил винду, обновил др. Веб
3) Удалил Радмин. И тут началось самое непонятное: пропали все сетевые соединения. Т.е. вообще никак. Я естественно не понял что произошло, тыркался, делал проверку системы (тут кстати тоже возникла проблема: антивирусом просмотрел комп - обнаружил несколько вирей, среди которых Rahack'а не было, но удалить их не смог, выскакивала ошибка - не могу удалить, т.к. нет в настройках ini-файла). Затем попробовал сделать обратные шаги - заново установил Radmin, и тут - о чудо ! Работа сети восстановилась. Кто попробует объяснить странные явления ?

[lor]

Прилагаю Hijacker log:



Logfile of HijackThis v1.99.0
Scan saved at 22:07:22, on 10.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
D:\Program Files\ICQLite\ICQLite.exe
D:\PROGRA~1\DRWEBF~1\spidernt.exe
D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
D:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Downloads\Soft\s2kctl14b67\S2kCtl.exe
C:\windows\system32\rk.exe
D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
d:\Program Files\DrWeb for Windows\spidernt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
D:\Downloads\Soft\DTemp\DTemp.exe
D:\Program Files\NeoRa\Trion\mirc32.exe
D:\Program Files\Opera7\Opera.exe
D:\Downloads\Soft\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\Jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [KillCopy] D:\PROGRA~1\KillSoft\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] d:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SpIDerNT] d:\PROGRA~1\DRWEBF~1\spidernt.exe /agent
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "d:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [MBM 5] "D:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [S2kCtl] D:\Downloads\Soft\s2kctl14b67\S2kCtl.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot
O4 - HKLM\..\Run: [printerdrv] c:\windows\vdms.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] "d:\progra~1\steam\steam.exe" -silent
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: Ярлык для DTemp.lnk = D:\Downloads\Soft\DTemp\DTemp.exe
O8 - Extra context menu item: Закачать все при помощи FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105975266265
O17 - HKLM\System\CCS\Services\Tcpip\..\{40F35304-610E-4859-8527-403964218BAA}: NameServer = 195.14.50.1 195.14.50.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B2C346E-7866-46D1-B0EE-D6E622D5216C}: NameServer = 195.14.50.1,195.14.50.21
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: SpIDer Guard for Windows NT - Doctor Web Ltd - d:\Program Files\DrWeb for Windows\spidernt.exe


StartupList report, 10.02.2005, 22:07:41
StartupList version: 1.52.2
Started from : D:\Downloads\Soft\hijackthis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
D:\Program Files\ICQLite\ICQLite.exe
D:\PROGRA~1\DRWEBF~1\spidernt.exe
D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
D:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Downloads\Soft\s2kctl14b67\S2kCtl.exe
C:\windows\system32\rk.exe
D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
d:\Program Files\DrWeb for Windows\spidernt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
D:\Downloads\Soft\DTemp\DTemp.exe
D:\Program Files\NeoRa\Trion\mirc32.exe
D:\Program Files\Opera7\Opera.exe
D:\Downloads\Soft\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
SATARaid.lnk = ?
Ярлык для DTemp.lnk = D:\Downloads\Soft\DTemp\DTemp.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

KillCopy = D:\PROGRA~1\KillSoft\KillCopy\kcresume.exe /startup
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
nForce Tray Options = sstray.exe /r
NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
ICQ Lite = d:\Program Files\ICQLite\ICQLite.exe -minimize
SpIDerNT = d:\PROGRA~1\DRWEBF~1\spidernt.exe /agent
Acronis*True*Image Monitor = "d:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe"
Acronis Scheduler2 Service = "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
MBM 5 = "D:\Program Files\Motherboard Monitor 5\MBM5.EXE"
S2kCtl = D:\Downloads\Soft\s2kctl14b67\S2kCtl.exe
OSS = c:\windows\system32\rk.exe -boot
printerdrv = c:\windows\vdms.exe
Outpost Firewall = D:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
Steam = "d:\progra~1\steam\steam.exe" -silent

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - D:\PROGRA~1\FlashGet\Jccatch.dll - {A5366673-E8CA-11D3-9CD9-0090271D075B}

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.co...?1105975266265

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 5*339 bytes
Report generated in 0,016 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[lor]

Просммотрел реестр - ключей, которые добавляет Rahack, я не обнаружил. (хотя до бэкапа они были и я их удалял - правд не помогло всё равно)

[Geser]

sstray.exe
c:\windows\system32\rk.exe
c:\windows\vdms.exe
D:\Downloads\Soft\s2kctl14b67\S2kCtl.exe

Файлы обязательно заархивировать с паролем virus и отправить на [email protected]
Как архивировать с паролем написано тут:
http://www.securinfo.ru/HowtoArchive
как искать файлы написано тут:
http://www.securinfo.ru/HowToSearch
В письме обязательно указать ссылку на тему!

[lor]

s2kcntrl - это нормальная программа. а вот первые две вызывают опасения

Таже проблема. После удаления вируса перестают запускаться ЕХЕшники.
Если выполнить VB-скрипт что "входит в комплект" файлов вируса и снова заразить систему - все ЕХЕшники начинают нормально работать...

[lor]

sstray.exe
c:\windows\system32\rk.exe
c:\windows\vdms.exe
D:\Downloads\Soft\s2kctl14b67\S2kCtl.exe

Файлы обязательно заархивировать с паролем virus и отправить на [email protected]
Как архивировать с паролем написано тут:
http://www.securinfo.ru/HowtoArchive
как искать файлы написано тут:
http://www.securinfo.ru/HowToSearch
В письме обязательно указать ссылку на тему!

Отправил Вам необходимые файлы: файла vdms.exe по указанному адресу обнаружено не было, отправил что нашёл. Файл rk.exe тоже вызывал у меня подозрения, если найдёте там что, то имеется в этой директории одноимённый файл с расширением BIN. Его тоже вышлю, если понадобится.

[Geser]

rk.exe это прокси сервер. нужен?

[lor]

нет, не особо.

[Geser]

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot
O4 - HKLM\..\Run: [printerdrv] c:\windows\vdms.exe
удаляй

Кстати, во втором логе не хватает секции сервисов.

[lor]

Не знаю. Кинул лог полностью.

Так кто-нить может объяснить что за глюки с сетью были ?

[Geser]

Я не знау

[pig]

Проблемы с LSP?

[lor]

Проблемы с LSP?

Простите, с чем ?

[Alexey P.]

Простите, с чем ?

"В моем доме прошу не выражаться" .
LSP, оно же по терминологии AVZ - SPI. Это по сути цепочка устройств, через которые проходят пакеты в интернет и обратно по протоколу TCP. Если одно из них некорректно удалено, перестанет работать интернет/локалка.
LSPfix и AVZ 2.3 бета умеют это исправлять - первая вручную, вторая вроде как даже на автомате, что, имхо, достаточно большая пока редкость.

Ссылка на вторую программу http://z-oleg.com/avz-betta2.zip, обсуждение с ее автором - Олегом Зайцевым - здесь
hint: в окне программы надо поставить птичку - разрешить это SPI. В хелпе оно подробно описано, с картинкой.