Показано с 1 по 16 из 16.

NOD предупреждает, но полностью устранить не может (заявка № 20457)

  1. #1
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37

    Thumbs up NOD предупреждает, но полностью устранить не может

    на одном сайте (вроде как приличный с первого взгляда) подхватил заразу через ифрейм
    причем ифрейм был в теле страницы, а не в конце или вначале, что дает предположить, что сайт не был взломан трояном, а ифрейм внедрил сам хозяин сайта
    не знаю можно ли здесь публиковать ссылки на этот сайт и на сам вредоносный код, поэтому пока не буду, если скажете могу опубликовать
    эти ссылки отправил через форму http://z-oleg.com/secur/avz/uploadvir.php
    вообще дело было так: при загрузке страницы браузер (MyIE 2) сначала завис на некоторое время, потом он слетел полностью и в это же время НОД32 выдал предупреждение:
    Win32/Nuwar червь в экзешнике, который находится в темпе моего профиля - файл перемещен в карантин
    и в это же время утилита AnVir предупредила что в авторан реестра добавляется еще один екзешник тоже из темпа профиля, это дествие я естественно отменил
    сначала понадеялся что защита сработала но обнаружил симптомы:
    открываются соединения на 80 порт различных ip адресов: 208.66.195.15, 66.232.113.80, 69.46.27.141, 67.228.160.10, 75.126.215.18
    открываются по одному, т.е. если одно заблокировать в фаерволе, то открывается на другой
    открываются соединения на 25 порт серверов *.mail.ru, *.google.com видимо пытается рассылать спам, благо у прова соединения на 25 порт закрыты
    после перезагрузки через некоторое время появляется предупреждение винды о том что приложение НОД32 будет закрыто, но НОД32 продолжает выполняться и при первом подключении к интернету предупреждает о вирусе Win32/Wigon.BA в файле C:\windows\system32\drivers\Imp58.sys созданным приложением C:\windows\temp\BN8D0B.tmp (каждый раз другие файлы)
    сканирование НОД32 ничего не выявило, скачал CureIT - обнаружены в темпе профиля зараженные load.exe, pav.exe, после их удаления теже симптомы продолжались
    посмотрел логи НОД32 и обнаружил, что самый первый заблокированный им файл с Win32/Nuwar был создан приложением D:\win.exe (и НОД32, и CureIT сканировали диск D: но ничего не обнаруживали)
    удалил (вернее переименовал - могу дать для опытов) этот D:\win.exe и симптоны несколько изменились - соединения на 25 порт перестали открываться, перестали появлятся предупреждения о завершении НОДа и его предупреждения о вирусе при подключении к интернету, но попытки соединения на 80 порт остались
    так как у меня сервис пак был установлен поверх системы, то для ее исправления деинсталлировал сервис пак и сразу же поставил его по новой - последние симптомы остались как были
    прошу посмотреть на логи и помочь исправить
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    наверно, следует указать, что присланные логи - после переустановки сервис пака (есть и до переустановки, но они, видимо, не нужны)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    хороший урок на тему- не нужно сидеть под админом в инете , или что будет если всё же сидеть под админом
    Прекрасный набор трoянов и руткитов
    Отключить нод и интернет.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\svcchost.exe','');
     QuarantineFile('C:\WINDOWS\System32\drct16.dll','');
     QuarantineFile('D:\WebServers\etc\Run.exe','');
     QuarantineFile('C:\WebServers\etc\utils\Boot.exe','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\vdmt16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Vae71.sys','');
     SetServiceStart('Txb83', 4);
     StopService('Txb83');
     QuarantineFile('C:\WINDOWS\System32\drivers\Txb83.sys','');
     SetServiceStart('Twa58', 4);
     DeleteService('Twa58');
     StopService('Twa58');
     QuarantineFile('C:\WINDOWS\System32\drivers\Twa58.sys','');
     SetServiceStart('Rux58', 4);
     DeleteService('Rux58');
     StopService('Rux58');
     QuarantineFile('C:\WINDOWS\System32\drivers\Rux58.sys','');
     StopService('Jmp58');
     SetServiceStart('Jmp58', 4);
     DeleteService('Jmp58');
     QuarantineFile('C:\WINDOWS\System32\drivers\Jmp58.sys','');
     StopService('Imp82');
     SetServiceStart('Imp82', 4);
     DeleteService('Imp82');
     QuarantineFile('C:\WINDOWS\System32\drivers\Imp82.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\GVCplDrv.sys','');
     StopService('Fjn58');
     SetServiceStart('Fjn58', 4);
     DeleteService('Fjn58');
     QuarantineFile('C:\WINDOWS\System32\drivers\Fjn58.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Fjn58.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Imp82.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Jmp58.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Rux58.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Twa58.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Txb83.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\winlogon.exe');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\System32\drct16.dll');
     DeleteFile('C:\WINDOWS\System32\svcchost.exe');
     BC_ImportALL;
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20457
    новые логи сделать.

  5. #4
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    хороший урок на тему- не нужно сидеть под админом в инете
    да, согласен...

    карантин закачал, только в нем всего три файла, остальные типа Txb83.sys видимо мигрируют, хотя все равно файлов должно было быть больше...
    во время выполнения скрипта мелькали красные ошибки, но в конце сказало, что скрипт выполнен без ошибок

    + к тому же один из этих трех файлов в карантине это D:\WebServers\etc\Run.exe (несмотря на подозрительное название, вряд ли каверзная штука, я его сам ставил, это из денвера, впрочем в карантин все равно включил, на всяких случай)
    да, и C:\WebServers\etc\utils\Boot.exe это тоже из того же пакета денвер, я его сначала поставил на C:\ (видимо гдето в реестре запись осталась) а потом вручную перенес на D:\ (он нормально переносится с одного места на другое, вот я и решил на всяк случай лучше чтоб он был на D:\)
    Boot.exe - это инициализация виртуального диска, который нужен для работы пакета, а Run.exe - запуск апача+пхп+мускул, ярлык на него в автозагрузку профиля я сам лично положил

    новые логи прикрепил...
    Вложения Вложения
    user

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [msvcc25] svcchost.exe
    O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
    O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('vdmt16');
     QuarantineFile('C:\WINDOWS\System32\vdmt16.sys','');
     BC_DeleteSvc('Vae71');
     QuarantineFile('C:\WINDOWS\System32\drivers\Vae71.sys','');
     BC_DeleteSvc('Uxd47');
     QuarantineFile('C:\WINDOWS\System32\drivers\Uxd47.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Uxd47.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Vae71.sys');
     DeleteFile('C:\WINDOWS\System32\vdmt16.sys');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('svcchost.exe');
      BC_DeleteSvc('mousehs');
     DeleteFile('C:\WINDOWS\System32\mousehs.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  7. #6
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    пофиксил...
    скрипт выполнил...
    карантин залил...
    логи прикрепляю...
    зы: огромное спасибо за помощь
    Вложения Вложения
    user

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Похоже, больной пошёл на поправку

    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll- лишнее при наличии sp2

    C:\WINDOWS\system32\Drivers\MASPINT.sys- это что будет у нас ?

    P.S. в avz зайти в файл-мастер поиска и устранения проблем- пройтись по всем опциям и пролечить.

  9. #8
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    правильно ли я понял пофиксить это ХайДжеком?
    Пофиксить, сам файл с диска удалить как не нужный хлам.

    Цитата Сообщение от drongo Посмотреть сообщение
    C:\WINDOWS\system32\Drivers\MASPINT.sys- ?
    а avz скорируйте, если попадёт в карантин- прислать, не попадёт- значит не надо.

    да еще ... только что винда выдала предупреждение что приложение НОД32 будет закрыто, нод в трее висит, отвечает нормально - т.е. либо "поправка больного" еще не совсем, либо сам нод заглючило, в принципе его можно переустановить у меня как раз версия поновее сегодня появилась
    переустановить .

    P.s. системы защиты должны быть всегда последней версии и с официального сайта , а про поломанные версии неизвестно откуда- забыть.
    Последний раз редактировалось drongo; 27.03.2008 в 01:27. Причина: Добавлено
    user

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Прошу прощения, я ответил в вашей теме Заработался сегодня ;-)

  11. #10
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    Прошу прощения, я ответил в вашей теме Заработался сегодня ;-)
    ага я понял, хотя сначала испугался

    остальное тоже вроде бы понял нормально, только одно замечание - нод не ломанный, его и ломать то не надо так как не требуется, лицензия нужна только чтоб базы обновлять, но я базы беру в своей корпорации, а там лицензия куплена, да и ограничений на распространие их в своей локалке нету

    а вообще спасибо огромное
    user

  12. #11
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    наверно я все же поспешил сказать что все понял
    Цитата Сообщение от drongo
    а avz скорируйте, если попадёт в карантин- прислать, не попадёт- значит не надо.
    что именно надо сделать с C:\WINDOWS\system32\Drivers\MASPINT.sys ?
    user

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    MASPINT.sys пришлите согласно приложению 2 правил.

  14. #13
    Junior Member Репутация
    Регистрация
    26.03.2008
    Сообщений
    10
    Вес репутации
    37
    Цитата Сообщение от Гриша Посмотреть сообщение
    MASPINT.sys пришлите согласно приложению 2 правил.
    карантин с файлом залил
    Цитата Сообщение от drongo Посмотреть сообщение
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll- лишнее при наличии sp2
    пофиксил

    Цитата Сообщение от drongo Посмотреть сообщение
    P.S. в avz зайти в файл-мастер поиска и устранения проблем- пройтись по всем опциям и пролечить.
    сделал

    Цитата Сообщение от drongo Посмотреть сообщение
    Похоже, больной пошёл на поправку
    да, больше каверзные сиптомы наличия чужого не проявляются

    хороший и полезный Ваш проект, хочется поблагодарить всех его участников, благородное дело Вы делаете, большое Вам спасибо, не заметил кнопочки с реквизитами, а хотелось бы внести какую небудь посильную лепту в развитие такого замечательного проекта, может она где то запрятана? в личку сбростье пожалуйста ее местоположение, а пока что скурпулезно ознакомился с интересными в контексте обсуждаемых здесь проблем ссылками яд внизу страницы, завтра еще продолжу на работе, знаю где их найти

    зы. свою учетную запись лишил админ прав, советую сделать это всем серферам еще не сделавшим этого (главное не забудьте пароль от дефолтового админа )))
    user

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    присланный файл чистый ...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Цитата Сообщение от Valdis Посмотреть сообщение
    не заметил кнопочки с реквизитами, а хотелось бы внести какую небудь посильную лепту в развитие такого замечательного проекта, может она где то запрятана?
    Поддержка проекта - http://virusinfo.info/showthread.php?t=17130

    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.luo (DrWEB: Trojan.DownLoader.50037)


  • Уважаемый(ая) Valdis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Устранить последствия вирусов.
      От ma-goo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 18.12.2010, 09:20
    2. как устранить последствия баннера?
      От sergio076 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.09.2010, 20:16
    3. Помогите устранить последствия
      От hotwhitewind в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.06.2009, 12:15
    4. Помогите устранить вирус
      От Hy6 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2008, 15:06
    5. Помогите устранить последствия
      От ZYY в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.06.2008, 23:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00172 seconds with 17 queries