Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Согласен Симантек не надежен особенно 9 и 8 версии...
Ну ничего не поделать... политика партии....
К сожалению ступил с самого начала....
файлы не сохранил...и лог тоже
Зато копаясь в недрах реестра обнаружил
что дрянь tcpQ32.dll и tcpQ64.sys
прописались еще в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal
а также HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network
tcpq32.dll - Жуткая вещь. Данный вирус, мало того что не видит ни один антивирус, этот файл прячется так, что - ни впроцессах, ни в директории system32 (где он благополучно обитает) его нет.
Нашел эту гадость с помощью Hexprobe, глубоко-глубоко в процессах.
Что оно делает.
1. Выводит из строя ваш файервол. В моем случае Zone Alarm. Берет на себя службу TrueVector. Так-же блокирует несколько других служб, что оголяет ваш компьютер даже для школьника.
2. Блокирует запуск некоторых приложений. Например WinAmp, вырубает сразу просле загрузки.
3. Запрещает запуск некоторых антивирусов. В моем случае, даже не запускалась установка McAfee.
4. В I.E., пропадает основное меню (файл - правка - вид ...), А так-же, меню пользователя и избранное.
5. Самое жуткое. После входа в сеть, примерно минут через 5 (в зависимости от активности удаленного сервера хакера), происходит критическая ошибка памяти, что тут-же приводит к синему "экрану смерти" - Stop: c000021a {Fatal System Error} ...
Удалить эту заразу можно только через консоль восстановления, в ручную. Для этого нужно загрузится с утановочного диска и зайти в режим Repair (Восстановление). Перейти в каталог System32 (cd \windows\system32) и удалить tcpq32.dll (delete tcpq32.dll).
Мое подозрение, что это новый backdor.nthack, т.к. именно он вызывал фатал еррор. Хотя джины (newgina) нет нифига в реестре.
P.S. После удаления Dll-шника, проверьте систему несколько раз, возможно он еще натащил кучу троянов. Мое мнение, вирус достаточно опасен. Будьте бдительны.
В догонку...
Мое подозрение, что это новый backdor.nthack...
This is a report processed by VirusTotal on 12/08/2005 at 12:34:14 (CET) after scanning the file "Tcpq32.dll" file.
Antivirus Version Update Result
AntiVir 6.33.0.61 12.08.2005 no virus found
Avast 4.6.695.0 12.07.2005 no virus found
AVG 718 12.05.2005 no virus found
Avira 6.33.0.61 12.08.2005 no virus found
BitDefender 7.2 12.08.2005 Backdoor.Haxdoor.FD
CAT-QuickHeal 8.00 12.08.2005 no virus found
ClamAV devel-20051108 12.07.2005 no virus found
DrWeb 4.33 12.08.2005 BackDoor.Haxdoor.173
eTrust-Iris 7.1.194.0 12.07.2005 Win32/Haxdoor.Variant!HookDLL!Tr
eTrust-Vet 11.9.1.0 12.08.2005 no virus found
Fortinet 2.54.0.0 12.08.2005 suspicious
F-Prot 3.16c 12.07.2005 no virus found
Ikarus 0.2.59.0 12.08.2005 no virus found
Kaspersky 4.0.2.24 12.08.2005 Backdoor.Win32.Haxdoor.fd
McAfee 4645 12.07.2005 BackDoor-BAC.dll
NOD32v2 1.1315 12.07.2005 a variant of Win32/Haxdoor
Norman 5.70.10 12.08.2005 no virus found
Panda 8.02.00 12.07.2005 Bck/Haxdoor.FA
Sophos 4.00.0 12.08.2005 Troj/Haxdor-Fam
Symantec 8.0 12.07.2005 no virus found
TheHacker 5.9.1.051 12.08.2005 no virus found
VBA32 3.10.5 12.08.2005 suspected of Trojan-Spy.Banker.71
У меня Dr.Web 4.33 вообще ничего не увидел. Видимо, это из-за скрытия (или какой-либо защиты от антивирей) происходило.
Почему-же тогда у меня система вылетала при коннекте с сетью? Ведь в описании вирусов семейства BackDoor.Haxdoor, такого глюка не наблюдалось. Или все-же бывает? В нете, по крайней мере, по этому поводу ничего не нашел.
Привет!
Впервые попробовал вот твою программу.
Классная. Работает быстро и качественно, интерфейс приятный.
Попробовал просто так, но когда узрел результат (см. аттач) то стало не по себе. Непонятно, почему Касперский и ВЭБ пропускают, когда там столько нечисти, неужто нельзя было встроить модулем в них твою прогу?
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
Еще раз спасибо!
Леонид. mailto:[email protected]
Привет!
Впервые попробовал вот твою программу.
Классная. Работает быстро и качественно, интерфейс приятный.
Попробовал просто так, но когда узрел результат (см. аттач) то стало не по себе. Непонятно, почему Касперский и ВЭБ пропускают, когда там столько нечисти, неужто нельзя было встроить модулем в них твою прогу?
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
Еще раз спасибо!
Леонид. mailto:[email protected]
Гатор понятно, распространённая адварь. Касперу нужно расширенные базы поставить, скорее всего увидит. Остальные подозрения возможно ложняки. Нужно прислать на анализ файлы.
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
файлы
c:\program files\common files\gmt\egieprocess.dll
c:\Program Files\Common Files\GMT\EGIEProcess.dll
c:\Program Files\Teamspeak2_RC2\KeyPress.dll
рекомендуется прислать на анализ на [email protected] с паролем virus для анализа и добавления в базу.
остальные детектируемые файлы можно смело удалять - это шпионские модули.
Я уже назнаю что делать... у меня стоит Symantec Corporate Editor 9.0
при проверке он нашел:
can type: Realtime Protection Scan
Event: Virus Found!
Virus name: Backdoor.Haxdoor
File: C:\WINDOWS\system32\sertgs.dll
Location: C:\WINDOWS\system32
Computer: 15-1
User: alia
Action taken: Clean failed : Quarantine failed : Access denied
посморел по сенмантику... он мне выдал несколько разновидностей этого вируса, но ни один из предложеных методов не помог... подскажите что делать???
у меня честно говоря осталдось тока однамысля... снести всю систему и поставить заного...
посморел по сенмантику... он мне выдал несколько разновидностей этого вируса, но ни один из предложеных методов не помог... подскажите что делать???
у меня честно говоря осталдось тока однамысля... снести всю систему и поставить заного...
Попробуй просканировать систему утилитой XenAntiSpyware (можно взять с http://xen.name) и выложить сюда логи. Если у тебя засел только юзермодный руткит, должно помочь.
Сегодня третий раз довелось встретиться с haxdoor.ja и первый раз его удалось завалить без осложнений в режиме пользователя. Помог avenger (отдельное спасибо RIC), autoruns для отслеживания драйверов и DLL'ок, AVZ для выявления перехватов. Вообщем эта мразь запускает пару драйверов(судя по названию для 32-х битной и 64-х битной ОС), одну DLL'ку с ключом в winlogon и маскирует процесс в памяти с произвольным именем. Плюс ко всему восстанавливает свои перехваты почти сразу же после их нейтрализации через AVZ. AVZ guard не помогает. В сэйф моде user mode rootkit также живет и процветает.
Как удалял: сначала через avenger вынес драйверы и dll'ку. Самое интересное, что после этого перехваты и маскировки все еще фиксировались даже после перезагрузки, хотя файлы вроде как исчезли из автозапуска и avz их уже не находил. Поставил NOD32 и только после этого перехваты исчезли, хотя NOD в памяти так ничего и не выцедил. Мистика...
И еще удивляет однообразие видового состава найденного зверья. Такое ощущение, что все загружается одним и тем же трояном.
Последний раз редактировалось XL; 09.06.2007 в 23:10.
Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.
Последний раз редактировалось anton_dr; 01.08.2006 в 19:57.
Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.
Угу. А я знаком с парой профессиональных карманников - милейшие люди.
ЦЫтата:
"<Имярек, известный бард> - конечно, гад, но гений" (c) Ваня Густов
Имя барда censored во избежание. Тем более, что близкого знакомства я с ним не имел.