Trojan.Popuper.6943(Dr.Web) и вероятно что-то ещё...

[Shadow[13]]

Нашел через исохант(isohunt.com) торрент с "Real.VNC.Enterprise.Edition.v4.4.1.WinAll", как в последствии оказалось сам установочный файл программы RealVNC из этого торрента(вообще там находится 2 торрента с одинаковым названием, тут речь ведётся о том, который по весу чуть больше) оказался зараженным(о чём я узнал только после того, как запустил его, насколько я помню я даже проверил его на virustotal.com).
Через некоторое время после запуска зараженного файла я получил вот такой вот попап:

---------------------------
System Error!
---------------------------
Attention, [USERNAME]! Some dangerous trojan horses detected in your system. Microsoft Windows Server 2003 files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!

Click OK to download the antispyware. (Recommended)
---------------------------
Yes No
---------------------------

Где [USERNAME] было имя на которое зарегана венда(в "System Properties > General > Registered to:" которое отображается).
Естественно на кнопочки я тут не жал...

Окошко это имело табу в таскбаре с эконкой обычной папки... И судя всему этот вирь каким-то образом прикрутился к эксплореру, т.к. в списке процессов ничего не обычного не было, а при попытке убить именно это окошко(оно отображалось в Applications) вместе с ним помер эхплорер.
В общем после этого я пошел качать "Dr.Web Cure-It!", avz и HiJack This...
Dr.Web при скане системы в сэйф моде собственно и нашел дллку или сиску(уже забыл, что именно) которую он обозвал "Trojan.Popuper.6943"(пара циферок могут быть перепутаны, но маловероятно) и благополучно удалил её, больше ничего подозрительного он не нашел, полную проверку проводить не стал, т.к. это заняло бы несколько дней.

Так же имеются подозрения, что не только эта гадость сидела в вышеупомянутом файлике, о том, что она не до конца убилась и что до неё в системе могло уже что-то ещё сидеть.

Вот кстати лог скана того самого файлика: http://www.virustotal.com/analisis/4...7e6c7068b907c6
всего пару часов назад только 3 или 4 антивиря пискнули, что мол что-то подозрительное, а сейчас уже 5...

Update: P.S. Попытался отправить эту гадость Dr.Web'овцам, но через веб форму не проходит, т.к. файл больше 5 метров весом, а как по другому прислать им вирус инфу найти не смог, даже поском по их форуму быстренько пробежался... =\

[Alex Plutoff]

-ну, если честно, то в логах особо в глаза ничего не кинулось... скачал vnc-E4_4_1-x86_x64_win32.exe сейчас попробую посмотреть какой в нём зверь сидит, а пока, если лишний раз перегружать систему не влом, выполните в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_QrFile('C:\RivaTuner\RivaTuner32.sys');
 BC_QrFile('C:\WINDOWS\system32\ckldrv.sys');
 BC_QrFile('C:\WINDOWS\System32\Drivers\acrchs1w.SYS');
 BC_QrFile('C:\WINDOWS\System32\tscupgrd.exe');
 BC_QrFile('C:\WINDOWS\system32\Drivers\sptd.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\Maestro1.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

...после ребута карантин перешлите по красной ссылке, той что вверху страницы.

[Kuzz]

Вебовцам еще можно почтой отправлять файлы.
Вот здесь посмотрите http://virusinfo.info/showpost.php?p=71131&postcount=10
Хоть это не так надежно (антиспам может порезать или еще что..)

[Shadow[13]]

Перезагружаться конечно не хочется, ко как-то с вирями и троянами ползающими внутри системы жить хочется ещё меньше...

Карантин:

Код:

Файл сохранён как	080627_113616_2008-06-27_48651700d5c44.zip
Размер файла	639606
MD5	12bb2051df5271d3e517057be40a85e1

C:\WINDOWS\system32\drivers\Maestro1.sys - Файлик от экранной клавиатуры, насколько я помню...(точно не уверен)
C:\WINDOWS\system32\Drivers\sptd.sys - это, насколько я помню, драйвера виртуальных сидюков от Daemon Tools
C:\RivaTuner\RivaTuner32.sys - собсвтенно какой-то драйвер рива тюнера, насколько я помню он нужен для разгона видюхи не через драйвера самой видюхи или для более точного определения текущих частот.
C:\WINDOWS\system32\ckldrv.sys - насколько я помню драва от звуковухи...
Что есть остальные два не припоминаю...

Kuzz, спасибо за информацию, про то, что им можно почтой присылать я наю, как-то раз присылал, но было очень давно, а вот сейчас инфу эту найти не смог и не был уверен, что у них ещё работает этот сервис.

Update: Отправил им этот файл, с кратким описанием, ссылкой на торрент, на вирусинфо и сюда.

Update2: Этот Trojan.Popuper.6943 изменил по крайней мере 2 настройки эксполрера(не тот который ie):
1) Folder Options > General > Browse Folders (установил на "Open each folder in its own window")
2) Folder Options > View > Advanced Options (убрал галку с "Display the full path in the title bar")
Как я подозреваю делал он спои "попапы" из обычных окон эксплорера, и в новых окнах он их мог показывать только с условием изменения первой настройки, а без второй он видимо никак не мог сделать заголовок окна более-менее похожим на сообщение об ошибке.

[Alex Plutoff]

-ну, если помните и уверены... остаётся только tscupgrd.exe остальное можно из лога исключить, ну, а если и это вспомните, то тогда и перегружать нечего
-ваша софтина добавляет в Автозапуск C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 C:\DOCUME~1\USER\LOCALS~1\Temp\IXP000.TMP\ и надстройку IE C:\WINDOWS\system32\f_system.dll

[Shadow[13]]

Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и

Код:

?,ошибка получения информации о файле
Командная строка:

в информации
Это что может быть?

И система времянами подозрительно много памяти кушает, вроде как процессов нет которые особо сильно память кушают, а система постоянно свопится, если верить таск мэнэджеру то система кушает где-то 200 метров оперативки(хотя убита большая часть ненужных сервисов, отключена всякая анимация, эффекты и прочее, используется классический вид десктопа), процессы ещё 120, свободно 180, а венда постоянно свопится...

[Kuzz]

Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и

Код:

?,ошибка получения информации о файле
Командная строка:

в информации
Это что может быть?

Если включен AVZPM, то на Windows2003 такое очень часто наблюдается.
Это особенности обработки хендлов процессов данной системой.
Бывает чаще всего при наличии веб-сервера (драйвера некоторых принтеров могут также содержать такие компоненты)

[Alex Plutoff]

Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и

Код:

?,ошибка получения информации о файле
Командная строка:

в информации
Это что может быть? ...

-возможно, дело в самой ОС http://z-oleg.com/secur/avz_doc/faq_14.htm

И система времянами подозрительно много памяти кушает, вроде как процессов нет которые особо сильно память кушают, а система постоянно свопится, если верить таск мэнэджеру то система кушает где-то 200 метров оперативки(хотя убита большая часть ненужных сервисов, отключена всякая анимация, эффекты и прочее, используется классический вид десктопа), процессы ещё 120, свободно 180, а венда постоянно свопится...

-в этой связи очень хотелось на acrchs1w.SYS посмотреть, а он как на зло в карантин не попал... а вот f_system.dll имеет все шансы на удаление, тот который выудился у меня выглядит не очень респектабельным http://www.virustotal.com/ru/analisi...a2ab2bd69a6906
по сему выполнить в AVZ

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\f_system.dll','');
end.

..и перешлите карантин, Вы уже знаете, по красной ссылке, той что вверху страницы

[Shadow[13]]

Если включен AVZPM, то на Windows2003 такое очень часто наблюдается.
Это особенности обработки хендлов процессов данной системой.
Бывает чаще всего при наличии веб-сервера (драйвера некоторых принтеров могут также содержать такие компоненты)

принтера у меня нет, драйверов для него тоже нет, мало того, даже запрещено добавлять новые принтеры, запуск принт спулера и прочего связанного с принетом в сервисах и через gpedit.msc
никаких веб-серверов у меня так же нет.

-в этой связи очень хотелось на acrchs1w.SYS посмотреть, а он как на зло в карантин не попал...

Гмм... может быть ещё раз логи сделать? По какой причине он не попал в карантин я не знаю :(

а вот f_system.dll имеет все шансы на удаление, тот который выудился у меня выглядит не очень респектабельным http://www.virustotal.com/ru/analisi...a2ab2bd69a6906
по сему выполнить в AVZ

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\f_system.dll','');
end.

..и перешлите карантин, Вы уже знаете, по красной ссылке, той что вверху страницы

P.S.На всякий случай:
Tasklist + Task Manager(Perfomance tab) - 29 KB
Services - 33 KB
Если надо могу инфу о железе, дравах, установленном софте, логи системы(45847 эвентов) с момента установки(07.02.07) и пр. предоставить...

[Alex Plutoff]

...
Гмм... может быть ещё раз логи сделать? По какой причине он не попал в карантин я не знаю

-пожалуй, но не меню Файл > Стандартные скрипты, а так: AVZPM > Установить драйвер расширенного мониторинга процессов и затем Файл > Исследование системы

...

...

-попробуйте вручную: AVZ > Сервис > Поиск файлов на диске и поищите в C:\WINDOWS\system32 файл f_*.dll

[Shadow[13]]

-пожалуй, но не меню Файл > Стандартные скрипты, а так: AVZPM > Установить драйвер расширенного мониторинга процессов и затем Файл > Исследование системы

AVZPM в принципе был и так установлен... выгрузил и удалил драйвер, ещё раз обновил базы AVZ, по новой установил драйвер и сделал лог(со всеми подробностями на всякий случай).

-попробуйте вручную: AVZ > Сервис > Поиск файлов на диске и поищите в C:\WINDOWS\system32 файл f_*.dll

Не нашел ничего...

[Alex Plutoff]

-наверно нужно поспать
...от лога к логу
C:\WINDOWS\System32\Drivers\acrchs1w.SYS
C:\WINDOWS\System32\Drivers\a6eajsph.SYS
C:\WINDOWS\System32\Drivers\an6re4yy.SYS

P.S. -все єти надстройки IE C:\WINDOWS\system32\f_*.dll именуются, как WinView plugin... наверное есть смысл посмотреть в IE > Сервис > Свойства обозревателя > Программы > Надстройки на предмет наличия оных

[Shadow[13]]

-наверно нужно поспать :>
...от лога к логу :O
C:\WINDOWS\System32\Drivers\acrchs1w.SYS
C:\WINDOWS\System32\Drivers\a6eajsph.SYS
C:\WINDOWS\System32\Drivers\an6re4yy.SYS

Насчёт поспать - хорошая идея...
Эти файлы кстати не находятся поиском... :)
Что всётаки с этим делать?

P.S. -все єти надстройки IE C:\WINDOWS\system32\f_*.dll именуются, как WinView plugin... наверное есть смысл посмотреть в IE > Сервис > Свойства обозревателя > Программы > Надстройки на предмет наличия оных

Никаких f_*.dll поиском(разумеется поиск ищет и среди "скрытых" файлов и среди системных и пр.) в папке windows найдено не было...
Вот паззл-скриншот из настрое IE: http://img134.imageshack.us/img134/7512/iefj9.png
Пришлось из 4 скринов собирать =)

P.S. Версия IE на всякий случай: 6.0.3790.3959
В принципе я им вообще не пользуюсь и если буду переставлять ОС я скорее всего предварительно удалю его из дистрибутива(кстати, как тогда быть при создании логов для этого раздела?)...
P.P.S. Кстати, можно логи сравнить с логами сделанными пол года назад, у меня тогда с beagle были проблемы: http://virusinfo.info/showthread.php?t=14828
систему я не переставлял, особо сильно в системе по идее тоже не изменилось(ну несколько заплаток новых и пара софтин)...

[Alex Plutoff]

-в старых логах тоже фигурируют очень похожие объекты
\SystemRoot\System32\Drivers\az59ahmt.SYS
\SystemRoot\System32\Drivers\arlh3k23.SYS
...нужно полагать, что это так DAEMON изголяется
-ну, а по поводу отсутствия надстройки WinView plugin C:\WINDOWS\system32\f_*.dll, думаю, тоже особо париться нечего, возможно это именно её Cure-It! прихлопнул...

Добавлено через 1 час 29 минут

-теперь немного об самом VNC Setup (vnc-E4_4_1-x86_x64_win32.exe)... это SFX CAB контейнер, содержащий два исполняемых модуля, вредоносный - explorer.exe и чистый - vnc-E4_4_1-x86_x64_win32.exe
-после распаковки контейнера запускается explorer.exe, стараниями которого и получаем IE-надстройку WinView plugin, которая в свою очередь помогает показать окошко 'System Error!'(ещё что-то и подгружать может), ну и наконец, скрывает всё это безобразие, порожденный всё тем же explorer.exe cmd-сценарий

:loop
del "C:\Documents and Settings\[USERNAME]\Local Settings\Temp\IXP001.TMP\explorer.exe"
if exist "C:\Documents and Settings\[USERNAME]\Local Settings\Temp\IXP001.TMP\explorer.exe" goto loop
del C:\DOCUME~1\[USERNAME]\LOCALS~1\Temp\dcp.cmd

...и уже только после этого запускается VNC Setup

P.S.-для того что бы безопасно установить RealVNC, достаточно распаковать SFX-архив в отдельную папку и удалить вредоносный - explorer.exe, и запустить желанный VNC Setup

[Shadow[13]]

Спасибо!

-в старых логах тоже фигурируют очень похожие объекты
\SystemRoot\System32\Drivers\az59ahmt.SYS
\SystemRoot\System32\Drivers\arlh3k23.SYS
...нужно полагать, что это так DAEMON изголяется :)

В прицнипе вполне вероятно, что это действительно демонтулс изгаляется, но смысла я в этом не вижу, от чего он таким образом ныкается?

-ну, а по поводу отсутствия надстройки WinView plugin C:\WINDOWS\system32\f_*.dll, думаю, тоже особо париться нечего, возможно это именно её Cure-It! прихлопнул...

Вероятно оно так и есть, Cure-It! убил только 1 файл, это была ДЛЛка, вот названия я, к сожалению, уже даже примерно вспомнить немогу...

-теперь немного об самом VNC Setup (vnc-E4_4_1-x86_x64_win32.exe)... это SFX CAB контейнер, содержащий два исполняемых модуля, вредоносный - explorer.exe и чистый - vnc-E4_4_1-x86_x64_win32.exe
-после распаковки контейнера запускается explorer.exe, стараниями которого и получаем IE-надстройку WinView plugin, которая в свою очередь помогает показать окошко 'System Error!'(ещё что-то и подгружать может), ну и наконец, скрывает всё это безобразие, порожденный всё тем же explorer.exe cmd-сценарий...и уже только после этого запускается VNC Setup

P.S.-для того что бы безопасно установить RealVNC, достаточно распаковать SFX-архив в отдельную папку и удалить вредоносный - explorer.exe, и запустить желанный VNC Setup 8)

Ну после запуска зараженного файла он собственно только куша оперативку, пока я его не пребил, никакой установки он не запустил...
Спасибо, но я уже успел скачать такой же торрент, только без этого попапера(кстати у зараженного и чистого файла отличаются только небольшие куски в начале), ещё более новую версию с оф.сайта, заодно более старую бесплатную версию и версию от "ZWT" с кейгеном, если хотите могу прислать кейген, а вдруг в нём тоже сидит что-то?.. :)

Просканился RootkirRevealer'ом из Sysinternals Suite, он нашел 8 подозрительных записей в реестре > 12 KB <.
FileMon и RegMon, из того же Sysinternals Suite, за несколько минут работы, тоже не показали ничего особо бросающегося в глаза...
По поводу открытых портов, мне кажутся подозрительными:

Код:

Port  Process:PID
500   lsass.exe:460
1027  svchos.exe:816
1028  svchos.exe:816
1029  svchos.exe:776
1327  svchos.exe:776
4500  lsass.exe:460
54791 svchos.exe:776

Ещё попозже сниффером гляну что у меня на сетевых интэрфейсах творится... Сейчас там слишком много флуда от торрентов...

Эх... надо уходить под никсы... x_x
Проблема только в том, что некоторый софт будет очень проблематично заменить на никсовые аналоги и на освоение никсов уйдёт несколько месяцев, если не лет(под вендами я сижу уже больше 10 лет и до сих пор многого про них не знаю), да ещё моё полудохлое железо как-то странно себя ведёт под никсами... =\
Видимо пока придётся ограничиться очередной переустановкой системы, а так нехочется... =\

[pig]

svchos.exe - это на самом деле такое имя?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\docume~1\\phantom\\locals~1\\temp\\ixp000.tmp\ \explorer.exe - Trojan.Win32.AntiAV.ed
  2. c:\\windows\\system32\\f_system.dll - not-a-virus:AdWare.Win32.BHO.bqe
  3. c:\\windows\\system32\\f_view.dll - not-a-virus:AdWare.Win32.BHO.bqe