Показано с 1 по 18 из 18.

Сначала $$$-файлы, потом невидимые окна, теперь руткиты... [Trojan-Spy.Win32.Zbot.soo ] (заявка № 36737)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34

    Exclamation Сначала $$$-файлы, потом невидимые окна, теперь руткиты... [Trojan-Spy.Win32.Zbot.soo ]

    Добрый вечер!
    Все началось с того, что в каталоге Windows\Temp стали появляться файлы большого размера (10-15 мб) с расширением *.$$$, которые по сути являлись RAR-архивами с фотографиями автомобилей, пейзажей, с книгами рецептов. DrWeb ничего подозрительного не обнаруживал. Поставил Avira и сразу появились трояны Muldrop, Dropper и пр., с которыми Avira вроде успешно справлялась. Сканер DrWeb отключил. А файлы $$$ продолжали появляться. Поставил Outpost Firewall, после 2 дней поисков выяснил, что эти файлы приходят с какого-то внешнего IP и после настройки соответствующего правила все вроде нормализовалось. Правда трояны эти не давали покоя. Нет, больше они не появлялись, просто я был удивлен, что Веб их не находил (с последними обновлениями), а Avira сразу ловила. Причем несколько раз успешно перехватывала появление какого-то файла bug.exe. Потом поставил A-Squared Free (ну никак не мог смириться с троянами), и он нашел какую-то подозрительность в файле WMKeeper.dll, который почему-то остался после удаления этой программы (что-то про WebMoney). Удалить файл не получилось, т.к. он оказался использованным сразу пости 20 приложениями, среди которых Opera, Torrent, Avira, Outpost и еще много всяких!!! Unlocker'ом я эти процессы отвязал и файл удалил. И вот с того момента и начались чудеса... Интернет не работает, торрент не запускается, файл справки не появляется, хотя все эти приложения показывались запущенными в менеджере задач. Интернет кстати не работал как-то по-особенному - адрес пишу, жму Enter и ничего не происходит, даже Outpost не ловит никакие HTTP-запросы. После этого я запустил AVZ с последними обновлениями (как-то чудом догадался скачать до того, как сломается интернет). Он сразу нашел кучу руткитов в user32.dll, причем имена функций явно связаны с отображением окон. Все ошибки AVZ исправил и я, не перезагружаясь, сразу смог запустить оперу, торрент, вышел в интернет. Полная проверка AVZ приводила к его зависанию, как выяснил позже из-за Outpost. Удалил его. Скачал CureIt, который в safemode нашел Trojan.Mycentria.8 и успешно удалил. Теперь без Outpost снова получаю эти $$$-файлы, и AVZ по-прежнему находит руткиты то в kernel32.dll, то в wininet.dll... Как быть?

    ---
    Marcello

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\spool32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Tppwrif.sys','');
     DeleteFile('C:\WINDOWS\system32\spool32.exe');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=36737
    Повторите логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    дальше этой строчки выполнение не идет:

    QuarantineFile('C:\WINDOWS\system32\spool32.exe',' ');

    пишет "ошибка при выполнении антируткита".
    может прислать карантин с одним файлом? в system32 он разумеется остался...

    может этот spool32.exe попробовать удалить вручную в SafeMode?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Уберите эту строчку из скрипта:

    Код:
    SearchRootkit(true, true);

  6. #5
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    Убирание строчки не помогло. Зависание было в том же самом месте. Переставил местами карантинные файлы - сначала драйвер, потом spool32.exe - все получилось. Карантин загрузил к теме. А вот повторные логи не получаются. Стандартный скрипт №3 зависает с такой ошибкой:

    c:\windows\system32\cpadvai.dll -> Подозрение на троянскую DLL
    c:\windows\system32\cpadvai.dll >>> Поведенческий анализ
    Типичное для кейлоггеров поведение не зарегистрировано
    Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\cpadvai.dll)
    Карантин с использованием прямого чтения - ошибка

    Самого файла cpadvai.dll в указанном месте я не вижу. Как быть?

  7. #6
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    Не с первого раза, но все же удалось собрать логи. Есть ли еще что-то подозрительное в них? А в карантине?

  8. #7
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    посмотрите логи, пожалуйста

    Добавлено через 3 часа 52 минуты

    up

    Добавлено через 3 часа 35 минут

    Хелперы, что с логами?
    Последний раз редактировалось Marcello; 06.01.2009 в 18:16. Причина: Добавлено

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пришлите этот файл Tppwrif.sys согласно приложению 2 правил...

  10. #9
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    Этот файл вместе с spool32.exe был в присланном карантине. Повторить еще раз?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пришлите его отдельно...

  12. #11
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    отправил

    Файл сохранён как 090106_204246_virus_49639816ee940.zip
    Размер файла 1686
    MD5 2d68e07115ed9ccf4eb0020aea76bca2

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Подождем ответа аналитиков...

  14. #13
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    А в остальном логи чистые? Проблемы-то пропали, т.е. $$$-файлы больше не появляются в Temp. И еще вопрос - откуда мог взяться этот spool32.exe в системе? И почему Dr.Web его просмотрел?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    А в остальном: всё хорошо, всё хорошо.(c)

    Откуда:из интернета вестимо Вот почему? Потому что права были на запись Не гуляйте под админом в инете и не будут появятся в системной папке вирусы, не зависимо от того, знает ли ваш антивирус на данный момент определённого зверя или нет.
    Вот:http://virusinfo.info/showthread.php?t=30339

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    TPPWRIF.SYS

    Вредоносный код в файле не обнаружен.

  17. #16
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    39
    Вес репутации
    34
    2 drongo:
    Мой аккаунт действительно админский... Создал еще одного админа и у первого установил права пользователя. И теперь многие приложения под первым аккаунтом перестали запускаться. Как мне их теперь заставить работать? Скажите, где про такую настройку прочитать можно? Или без переустановки не обойтись? Сорри за оффтоп...

    2 Гриша: спасибо

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    запускайте от имени администратора. Правой кнопкой мыши.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\spool32.exe - Trojan.Win32.Monder.aaxz (DrWEB: Trojan.Inject.5420)


  • Уважаемый(ая) Marcello, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 41
      Последнее сообщение: 10.11.2012, 12:56
    2. Ответов: 16
      Последнее сообщение: 10.10.2011, 20:32
    3. АВЗ находит подозрительные файлы, руткиты.
      От RoMan_VND в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 14.03.2011, 09:37
    4. Ответов: 3
      Последнее сообщение: 14.01.2010, 14:27
    5. Ответов: 13
      Последнее сообщение: 16.11.2009, 20:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00331 seconds with 16 queries