-
Junior Member
- Вес репутации
- 57
Подцепил трояна (winfilse)
Здравствуйте!
Наблюдаю проблему, очень похожую на описанную в
http://virusinfo.info/showthread.php?t=33830
В какой-то момент винда выдала синий экран и ушла в перезагрузку. После этого:
- наблюдается постоянная загрузка процессора при отсутствии активных процессов в task manager
- службы norton antivirus не запускаются, при попытке запустить вручную выдается сообщение, что файл не является win32-приложением
- установить AVPTool и CureIt! не удается
- HiJack устанавливается только с измененным именем
- при попытке установки AVZ сам файл avz.exe модифицируется, и отслеживается попытка создания некоторых .avz файлов (они удаляются)
- в каталоге system32\drivers появились неопознанные файлы: srosa2.sys, uzmyode3.sys, utmyode3.sys, fidbox.idx, fidbox.dat
Удалось запустить AVZ с измененным именем, но он не апдейтит базу данных. Встроенный диспетчер процессов показывает наличие winfilse.exe и wintems.exe, но убить их не удается.
В приложенных файлах - логи, которые удалось снять в таком состоянии. Буду благодарен за помощь в лечении.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
uzmyode3.sys, utmyode3.sys, fidbox.idx, fidbox.dat
Первые два - драйвера AVZ, вторые два - компоненты AVPTool.
Остальными сейчас будем заниматься.
AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\pooh\Application Data\Transcend\SJelite3\SJelite3Launch.exe','');
QuarantineFile('C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe','');
QuarantineFile('C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe','');
QuarantineFile('C:\Program Files\Common Files\Symantec Shared\ccApp.exe','');
QuarantineFile('C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe','');
QuarantineFile('C:\Program Files\Microsoft ActiveSync\Wcescomm.exe','');
QuarantineFile('C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe','');
QuarantineFile('C:\Program Files\Norton AntiVirus\osCheck.exe','');
QuarantineFile('C:\Program Files\OpenOffice.org 3\program\quickstart.exe','');
QuarantineFile('C:\Program Files\Picasa2\PicasaMediaDetector.exe','');
QuarantineFile('C:\Program Files\QIP Infium\infium.exe','');
QuarantineFile('C:\Program Files\QIP.Online\qiponline.exe','');
QuarantineFile('C:\Program Files\QuickTime\QTTask.exe','');
QuarantineFile('C:\Program Files\Skype\Phone\Skype.exe','');
QuarantineFile('C:\Program Files\System Control Manager\MGSysCtrl.exe','');
QuarantineFile('C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe','');
QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
QuarantineFile('C:\Program Files\\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe','');
QuarantineFile('c:\program files\system control manager\msiservice.exe','');
QuarantineFile('c:\windows\system32\mnsframework.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин в соответствии с правилами.
Пока мы ничего не лечим, а просто устанавливаем, какие файлы инфицированы. Как только получим ответ из лаборатории, займемся уничтожением.
Последний раз редактировалось NickGolovko; 16.11.2008 в 07:51.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 57
Закачано. На всякий случай прикладываю лог скана RootkitReveal - вдруг будет полезен
RootkitReveal.zip
Спасибо.
-
Junior Member
- Вес репутации
- 57
Дополнительная информация: netstat показывает наличие flec006.exe, отсутствующего в списке процессов!
-
C:\Program Files\Picasa2\PicasaMediaDetector.exe подменен червем - Ikarus детектит как Trojan-Downloader.Win32.Bagle , свежий
Отключите восстановление системы, как написано в правилах.
Выполните скрипт в AVZ 2 раза, 2-ой раз после перезагрузки:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
QuarantineFile('C:\Documents and Settings\pooh\Application Data\m\flec006.exe','');
QuarantineFile('c:\windows\system32\drivers\winfilse.exe','');
DeleteFile('c:\windows\system32\drivers\winfilse.exe');
DeleteFile('C:\Program Files\Picasa2\PicasaMediaDetector.exe');
DeleteFile('C:\Documents and Settings\pooh\Application Data\m\flec006.exe');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин по правилам и сделайте новые логи.
Последний раз редактировалось kps; 16.11.2008 в 15:54.
-
