Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

ibm00001.dll - новый зверь? (заявка № 9449)

  1. #1
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0

    Thumbs up ibm00001.dll - новый зверь?

    Ломился в сеть от имени IE, пришлось дать доступ, потому как иначе приходилось бы блокировать работу IE. Что это за гадость и надо ли теперь менять пароли, в особенности там, где я логинился через веб-интерфейс?
    Предварительно сканировал CureIT! и проверял НОД32, они в этом файле ничего не нашли.
    Последний раз редактировалось AriaL; 09.07.2007 в 13:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     BC_QrSvc('pe386');
     BC_DeleteSvc('pe386');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\SystemRoot\System32\Drivers\cvintdrv.SYS','');
     QuarantineFile('C:\WINDOWS\system32\nidscmem.dll','');
     QuarantineFile('c:\windows\system32\nisvcloc.exe','');
     QuarantineFile('c:\program files\national instruments\shared\security\nidmsrv.exe','');
     QuarantineFile('c:\windows\system32\lktsrv.exe','');
     QuarantineFile('c:\windows\system32\lkcitdl.exe','');
     QuarantineFile('c:\windows\system32\lkads.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
    RebootWindows(false);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Повторите логи, а также добавьте файл boot_clr.log из папки AVZ. Найдите и пришлите по правилам ibm00001.dll.

  4. #3
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Все сделал.



    Да, и еще - сколько должно быть процессов svchost? А то у меня их 8
    Последний раз редактировалось AriaL; 30.05.2007 в 13:08.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Да, и еще - сколько должно быть процессов svchost? А то у меня их 8
    Важно не количество, а качество
    Руткит убили, результат анализа присланных файлов ещё не пришел.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    выполните пока , чтобы добить гадость.
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
     DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');
     DeleteFile('C:\WINDOWS\system32:lzx32.sys');
     BC_ImportDeletedList; 
     ExecuteSysClean;  
      BC_DeleteSvc('PE386');
      BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate;  
     RebootWindows(true); 
     end.
    После перезагрузки прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению.
    Последний раз редактировалось Макcим; 03.05.2007 в 17:19.

  7. #6
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    На время уходил, комп выключил. При включении комп вис при окончании загрузки Винды, в т.ч. и в безопасном режиме. Загрузился через другого пользователя, выполнил скрипт в безопасном режиме. Потом через него же, в обычном режиме, повторил по логи AVZ и HiJackThis. Сейчас проблем с загрузкой нет. Логи прикладываю.
    Последний раз редактировалось AriaL; 30.05.2007 в 13:08.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis эту строчку:
    Код:
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    и поищите файл popcaploader_v5.cab, если найдется - удалите.
    Более ничего криминального в логах не видно.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А что делать с iexplore.exe? Он попал в карантин? Вроде он патченый.
    А как дела у ibm00001.dll?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от MaXim Посмотреть сообщение
    А что делать с iexplore.exe? Он попал в карантин? Вроде он патченый.
    А как дела у ibm00001.dll?
    MaXim, Вы у меня спрашиваете? Судя по посту #4, Вы карантином занимались... Ладно, посмотрим тогда.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    У меня сейчас проблемы с интернетом, поэтому я карантин временно не проверяю

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Результаты проверки на Virustotal:

    Насчет iexplore.exe
    DrWeb 4.33 05.04.2007 Trojan.PWS.GoldSpy
    eTrust-Vet 30.7.3612 05.03.2007 Win32/Goesna
    Ewido 4.0 05.03.2007 Trojan.GoldSpy
    Fortinet 2.85.0.0 05.04.2007 suspicious
    VirusBuster 4.3.7:9 05.03.2007 Trojan.Patched.Q
    остальные - no virus found.

    Про ibm00001.dll высказались только трое:
    eSafe 7.0.15.0 05.03.2007 Suspicious Trojan/Worm
    Ikarus T3.1.1.7 05.04.2007 Trojan.Win32.Obfuscated.ft
    Prevx1 V2 05.04.2007 Trojan.VCClient
    Я отправил обоих в вирлаб ЛК, посмотрим, что скажут.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Bratez, спасибо!
    А где находиться ibm00001.dll? В логах его я не увидел.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll

    А вот и ответ из ЛК про него:
    Здравствуйте,

    avz00009.dta - Trojan-PSW.Win32.Agent.lk

    Детектирование файла будет добавлено в следующее обновление.

    Пожалуйста, при ответе включайте переписку целиком.

    --
    С уважением, Дмитрий Швецов
    Вирусный аналитик Лаборатории Касперского.
    e-mail: [email protected]
    Хотя и не похоже, что он как-то задействован в системе, удалять будем по всем правилам:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll');
     BC_ImportDeletedList; 
     ExecuteSysClean;  
     BC_Activate;  
     RebootWindows(true); 
     end.
    Про iexplore.exe пока тишина.
    Последний раз редактировалось Bratez; 04.05.2007 в 14:35.

  15. #14
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    popcaploader_v5.cab не нашел, в HiJack пофиксил, ibm00001.dll успешно удалился.
    Насчет IE - может, мне лучше пока под Оперой посидеть? И надо ли менять пароли (через Оперу, разумеется) везде, где я логинился через веб-интерфейс?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Насчет IE - может, мне лучше пока под Оперой посидеть? И надо ли менять пароли (через Оперу, разумеется) везде, где я логинился через веб-интерфейс?
    Да, лучше пока пользуйтесь Оперой, а пароли меняйте обязательно.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Тем не менее файл IE лучше восстановить. По окончании процедуры сделайте новые логи с запущенным IE.

  18. #17
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Все сделал. На всякий случай прикрепил еще и логи от haxfix
    Последний раз редактировалось AriaL; 30.05.2007 в 13:08.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Так всё чисто, эксплорер заменён на чистый из кэша .
    Хотя меня смущает вот это :
    F729C000 018000 (98304)

  20. #19
    Full Member Репутация
    Регистрация
    14.03.2007
    Сообщений
    64
    Вес репутации
    0
    Что это такое и что с ним делать?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от AriaL Посмотреть сообщение
    Что это такое и что с ним делать?
    Давайте так, avz-сервис-модули пространства ядра, найти и кликнуть на пустую чёрточку, которая вместо имени .Затем нажать на крайне правый айкон - "снять дамп памяти текущего модуля" .Нажать да.Получившийся файл, из папки AVZ загрузить сюда.

  • Уважаемый(ая) AriaL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Что за зверь?
      От mellomann в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.01.2012, 21:54
    2. Новый зверь?
      От ikinetic в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.03.2011, 16:03
    3. Видимо новый зверь
      От Moroes в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.01.2010, 14:38
    4. Новый зверь. Убийца интернета.
      От Игорь в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 11.11.2008, 21:19
    5. Кажись, новый зверь
      От pig в разделе Вредоносные программы
      Ответов: 7
      Последнее сообщение: 31.05.2006, 17:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00971 seconds with 19 queries