Отключил юрер касперского (комп тормозил, говорит) через месяц зовёт, опять тормозит (но уже без каспера :-) )
При запуске Нода с WinPE получил сообщения о куче всего (в WinPE не сохранились логи), благополучно удалённого.
Запомнилось:
cp20261.nls - spabot/nac
ndis.sys - вероятно модифицированный Spabot/NAC
wininet.exe - NewHeur_PE
перезагруз->установка nod32->обновление nod32
вроде тихо, но "кто-то" продолжает лепить подобные файлы в корень С:, котрые тут же подхватывает нод.
Путём ручной замены части сисбиблиотек и это ушло, но осталось следущее:
вываливается outlook2003, сканер по требованию nod32 (их файлы 100% не порченные, так как после беглой чистки процессов их пару раз запустить удалось)
avz4 говорит:
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
после перезагрузки и замены wininet всё по-новому...
3-й лог попозже выложу. ухожу не перезагруз...
вот вроде бы всё...
кстати, на компе установлена CryptoPro, CProCtrl.sys - это наверно от неё...
Последний раз редактировалось yu_mor; 12.02.2007 в 21:00.
Причина: уточнения
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
2. Пришлите то, что попадет в карантин после выпонения скрипта согласно правилам
3. Необходимо:
3.1. Загрузиться в защищенном режиме (без поддержки сети)
3.2. Найти System32\Drivers\NDIS.sys и переименовать его в NDIS.bak
3.3. изыскать NDIS.sys в дистрибутиве и скопировать его на место переименованного NDIS.sys
3.4 Перезагрузиться
Фокус в том, что текущий NDIS.sys на диске заражен вирусом (по вирусному принципу в него внедрен зловред). Именно он пересоздает исполняемые файлы cp*.nls в корне диска (поэтому удалять файлы cp*.nls нет смысла - они опять пересоздадутся). Наилучшим шагом по борьбе с ним является восстановление NDIS.sys из дистрибуции. Не выйдет, я скину чистый NDIS.sys от XP или вручную вылечу присланный на шаге 2 образец.
Фокус в том, что текущий NDIS.sys на диске заражен вирусом
это вы по логам определили?
NDIS.sys я заменил ешё когда написал "Путём ручной замены части сисбиблиотек и это ушло". файлы nls не плодятся, а беспокоит именно APICodeHijack.JmpTo..., который, видимо, и не даёт запуститься Outlookу и Nodу
ps: комп пока занят, скрипт выполнить нет возможности.
Последний раз редактировалось yu_mor; 13.02.2007 в 09:39.
Скачал эти файлы (C:\WINDOWS\system32\lsp.dll, C:\WINDOWS\system32\drivers\, C:\WINDOWS\system32\drivers\) себе по сети в D:\progz\vir_\, и быполнил чуть подправленный скрипт:
begin
QuarantineFile('D:\progz\vir_\lsp.dll','');
QuarantineFile('D:\progz\vir_\NDIS.sys','');
QuarantineFile('D:\progz\vir_\Nh.sys','');
end.
hn.sys - это, думается от АМИКОНовского ключа, а вот, что сказал вирустотал про lsp.dll:
VBA32 3.11.2 02.12.2007 suspected of Trojan-PSW.Lmir.4 (paranoid heuristics)
другие звереловы молчат...
Жду дальнейших указаний.
Последний раз редактировалось yu_mor; 13.02.2007 в 11:16.
Скачал эти файлы (C:\WINDOWS\system32\lsp.dll, C:\WINDOWS\system32\drivers\, C:\WINDOWS\system32\drivers\) себе по сети в D:\progz\vir_\, и быполнил чуть подправленный скрипт:
begin
QuarantineFile('D:\progz\vir_\lsp.dll','');
QuarantineFile('D:\progz\vir_\NDIS.sys','');
QuarantineFile('D:\progz\vir_\Nh.sys','');
end.
hn.sys - это, думается от АМИКОНовского ключа, а вот, что сказал вирустотал про lsp.dll:
VBA32 3.11.2 02.12.2007 suspected of Trojan-PSW.Lmir.4 (paranoid heuristics)
другие звереловы молчат...
Жду дальнейших указаний.
П.п. 2 был выполнен ? Т.е. файлы присланы нам для анализа согласно правилам ?
да, вот:
Результат загрузки
Файл сохранён как 070213_102759_virus_45d1687fc81f9.zip
Размер файла 161769
MD5 c12f046359b996f1440eeed78af22122
Файл закачан, спасибо!
Да, файлы пришли. Файл LSP.DLL действительно подозрительный - я советую сделать его резервную копию и затем удалить этот файл отложенным удалением AVZ (после удаления и перезагрузки может потребоваться выполнить сканирование AVZ с включенным автоматическим исправлением ошибок SPI).
Сработало, спасибо!!! Правда понервничать пришлось, оказывается IMON "свалился" и из-за этого инет не работал, стартанул его, и внешне всё нормализовалось...
Остался вопрос,как избавиться от
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]
Появились траблы с ftp:
ftp> o ftp.сервер.ru
Связь с ftp.сервер.ru
220 ProFTPD 1.2.9 Server (ProFTPD) [in
Пользователь (ftp.сервер.runone))
331 Password required for юзер.
Пароль:
230 User юзер logged in.
ftp> dir
150 Opening ASCII mode data connection.
а дальше - дисконнект
с putом та же история
короче, залогинится могу, а принять/отправить - НИ-ФИ-ГА
а вот в ТоталКоммандере фтп работает (но нужна именно ftp.exe...)
Последний раз редактировалось yu_mor; 14.02.2007 в 18:17.
Причина: ещё
Человек в личке (спустя год :-) ) попросил отписать, что это КриптоПРО-шные перехваты:
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]
Уважаемый(ая) yu_mor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: