модификация beagle блокирует работу переименованного AVZ

**Gekster** · 28.01.2008, 21:06

Сообщение от Gekster

Новое наблюдение: троян активизируется после запуска internet explorer. попытаюсь поискать в апплетах
.

Нашел виновника googletoolbar4.dll. После его включения интернет эксплорер при запуске подвисает и старые знакомые джпеги в temporary internet files сразу появляются. Могу выслать на анализ.

P.S. кстати, по-моему AVZ одно время ругался на возможность вредоносного кода то ли в google dektop, то ли google toolbar

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Gekster** · 28.01.2008, 21:41

Сообщение от V_Bond

интересует ,только ничего из того что вы говорите в логах нет ...
давайте новые логи ... чудес не бывает ...

выкладываю. а правильно ли я делал, что всегда до последнего момента проверку запускал при включенном avzguard?

у AVZ есть сообщение, что google может запускать код через AppInit

**V_Bond** · 28.01.2008, 21:57

выполните скрипт .... убивающий зловреда из поста 4 ...
затем сделайте полную проверку AVPTool

**Gekster** · 28.01.2008, 23:28

Сообщение от V_Bond

выполните скрипт .... убивающий зловреда из поста 4 ...
затем сделайте полную проверку AVPTool

GoogleToolbarNotifier.exe - Trojan-Downloader.Win32.Bagle.hi

**V_Bond** · 28.01.2008, 23:42

что с вашими проблемами ? сделайте логи начиная с пункта 10 правил ....

**Gekster** · 29.01.2008, 21:04

Сообщение от V_Bond

что с вашими проблемами ? сделайте логи начиная с пункта 10 правил ....

Удалил нафиг google toolbar вместе с папкой. Загрузился в нормальном режиме, включил все апплеты IE. Вроде бы все нормально, вирус себя нигде не проявляет. Только в авторане стали видны ссылки на бывшие hldrrrr.exe, wintems.exe и т.д. Но, постоянно перестает работать http. Только запущу winsockfix и перезагружусь - несколько минут работает, а потом опять вырубает. И так каждый раз. при это пинги из командной строки идут. Что может быть?

P.S.Кстати, именно AVTOOL нашел исходный заразный файл. Может быть его в правила вместо CureIT вписать? Преимущество налицо.

**V_Bond** · 29.01.2008, 21:35

пофиксите ...

Код:

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

почистим остатки антивирусов они мешают чистоте эксперимента и примочки от Google ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('SNDSrvc', 4);
 DeleteService('SNDSrvc');
 StopService('SNDSrvc');
 SetServiceStart('NOD32krn', 4);
 DeleteService('NOD32krn');
 StopService('NOD32krn');
 SetServiceStart('ccSetMgr', 4);
 DeleteService('ccSetMgr');
 StopService('ccSetMgr');
 SetServiceStart('awhost32', 4);
 DeleteService('awhost32');
 StopService('awhost32');
 SetServiceStart('ccPwdSvc', 4);
 DeleteService('ccPwdSvc');
 StopService('ccPwdSvc');
 DeleteFile('c:\program files\google\google desktop search\googledesktop.exe');
 DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe');
 DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopCommon.dll');
 DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopHyper.dll');
 DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll');
 DeleteFile('C:\Program Files\Google\Google Desktop Search\GoogleDesktopResources_ru.dll');
 DeleteFile('C:\Program Files\Google\Google Desktop Search\gzlib.dll');
 DeleteFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL');
 DeleteFile('C:\PROGRA~1\Google\GOOGLE~1\GoogleDesktopResources_ru.dll');
 DeleteFile('C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe');
 DeleteFile('I:\Program Files\Symantec\pcAnywhere\awhost32.exe');
 DeleteFile('C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe');
 DeleteFile('C:\Program Files\Eset\nod32krn.exe');
 DeleteFile('C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe');
 DeleteFile('C:\Program Files\Eset\nod32kui.exe');
 DeleteFile('C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe');
 DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

сделайте два последних лога ...

**Gekster** · 29.01.2008, 21:59

Сообщение от V_Bond

пофиксите ...
сделайте два последних лога ...

Сделал. Высылаю. (WinsockFix без команды не запускал, поэтому http сейчас не работает).

**V_Bond** · 29.01.2008, 22:23

еще почистим мусор ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('SYMTDI', 4);
 DeleteService('SYMTDI');
 SetServiceStart('SYMREDRV', 4);
 DeleteService('SYMREDRV');
 QuarantineFile('C:\WINDOWS\system32\wininet.dll','');
 SetServiceStart('LiveUpdate', 4);
 DeleteService('LiveUpdate');
 DeleteFile('C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE');
 DeleteFile('C:\DOCUME~1\Artem\LOCALS~1\Temp\catchme.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\SYMREDRV.SYS');
 DeleteFile('C:\WINDOWS\System32\Drivers\SYMTDI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

если в карантин попадет wininet.dll пришлите его по правилам ...

в последнем логе у вас снастройками SPI/LSP все в порядке ... у вас днс сервер прописан в настройках интернет ... ?

**Gekster** · 29.01.2008, 22:44

Сообщение от V_Bond

еще почистим мусор ...
выполните скрипт ... если в карантин попадет wininet.dll пришлите его по правилам ...

Выслал.

в последнем логе у вас снастройками SPI/LSP все в порядке ... у вас днс сервер прописан в настройках интернет ... ?

Нет. у меня все настройки на роутере, а он все сам по DHCP раздает.
Сейчас вроде бы тьфу-тьфу работает.

Добавлено через 4 минуты

Сообщение от Gekster

Сейчас вроде бы тьфу-тьфу работает.

поторопился. снова затык.

**V_Bond** · 29.01.2008, 22:51

присланный файл чистый .... если больше проблем нет ... то не вижу к чему придраться ...

**Gekster** · 29.01.2008, 23:46

Сообщение от V_Bond

присланный файл чистый .... если больше проблем нет ... то не вижу к чему придраться ...

проблема с вебом еще остается.

Добавлено через 53 минуты

Сообщение от V_Bond

присланный файл чистый .... если больше проблем нет ... то не вижу к чему придраться ...

может быть дело в остатках испоганенного вирусом Zone Alarm Pro?

**V_Bond** · 29.01.2008, 23:57

почистим ZoneAlarm
выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe');
 DeleteFile('C:\WINDOWS\System32\vsdatant.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**Gekster** · 30.01.2008, 20:33

Сообщение от V_Bond

почистим ZoneAlarm
выполните скрипт ....

полчаса - полет нормальный. неужели это все?

Добавлено через 11 часов 57 минут

Спасибо всем большое за помощь. Похоже все окончательно заработало.

**CyberHelper** · 22.02.2009, 03:39

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 20
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.hi (DrWEB: Win32.HLLM.Beagle)
2. c:\\windows\\system32\\drivers\\srosa.sys - Trojan-Downloader.Win32.Bagle.iq (DrWEB: Win32.HLLM.Beagle)

модификация beagle блокирует работу переименованного AVZ (заявка № 17027)

Опции темы

Итог лечения

Похожие темы

Баннер блокирует работу

Блокирует работу броузеров

что-то блокирует работу с интернетом

Блокирует работу windows

блокирует работу Kasper'а

Ваши права в разделе