-
Full Member
- Вес репутации
- 0
ibm00001.dll - новый зверь?
Ломился в сеть от имени IE, пришлось дать доступ, потому как иначе приходилось бы блокировать работу IE. Что это за гадость и надо ли теперь менять пароли, в особенности там, где я логинился через веб-интерфейс?
Предварительно сканировал CureIT! и проверял НОД32, они в этом файле ничего не нашли.
Последний раз редактировалось AriaL; 09.07.2007 в 13:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
BC_QrSvc('pe386');
BC_DeleteSvc('pe386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Потом ещё один
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\System32\Drivers\cvintdrv.SYS','');
QuarantineFile('C:\WINDOWS\system32\nidscmem.dll','');
QuarantineFile('c:\windows\system32\nisvcloc.exe','');
QuarantineFile('c:\program files\national instruments\shared\security\nidmsrv.exe','');
QuarantineFile('c:\windows\system32\lktsrv.exe','');
QuarantineFile('c:\windows\system32\lkcitdl.exe','');
QuarantineFile('c:\windows\system32\lkads.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
RebootWindows(false);
end.
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ. Найдите и пришлите по правилам ibm00001.dll.
-
-
Full Member
- Вес репутации
- 0
Все сделал.
Да, и еще - сколько должно быть процессов svchost? А то у меня их 8
Последний раз редактировалось AriaL; 30.05.2007 в 13:08.
-
Да, и еще - сколько должно быть процессов svchost? А то у меня их 8
Важно не количество, а качество
Руткит убили, результат анализа присланных файлов ещё не пришел.
-
-
выполните пока , чтобы добить гадость.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('PE386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению.
Последний раз редактировалось Макcим; 03.05.2007 в 17:19.
-
-
Full Member
- Вес репутации
- 0
На время уходил, комп выключил. При включении комп вис при окончании загрузки Винды, в т.ч. и в безопасном режиме. Загрузился через другого пользователя, выполнил скрипт в безопасном режиме. Потом через него же, в обычном режиме, повторил по логи AVZ и HiJackThis. Сейчас проблем с загрузкой нет. Логи прикладываю.
Последний раз редактировалось AriaL; 30.05.2007 в 13:08.
-
Пофиксите в HijackThis эту строчку:
Код:
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
и поищите файл popcaploader_v5.cab, если найдется - удалите.
Более ничего криминального в логах не видно.
-
-
А что делать с iexplore.exe? Он попал в карантин? Вроде он патченый.
А как дела у ibm00001.dll?
-
-
Сообщение от
MaXim
А что делать с iexplore.exe? Он попал в карантин? Вроде он патченый.
А как дела у ibm00001.dll?
MaXim, Вы у меня спрашиваете? Судя по посту #4, Вы карантином занимались... Ладно, посмотрим тогда.
-
-
У меня сейчас проблемы с интернетом, поэтому я карантин временно не проверяю
-
-
Результаты проверки на Virustotal:
Насчет iexplore.exe
DrWeb 4.33 05.04.2007 Trojan.PWS.GoldSpy
eTrust-Vet 30.7.3612 05.03.2007 Win32/Goesna
Ewido 4.0 05.03.2007 Trojan.GoldSpy
Fortinet 2.85.0.0 05.04.2007 suspicious
VirusBuster 4.3.7:9 05.03.2007 Trojan.Patched.Q
остальные - no virus found.
Про ibm00001.dll высказались только трое:
eSafe 7.0.15.0 05.03.2007 Suspicious Trojan/Worm
Ikarus T3.1.1.7 05.04.2007 Trojan.Win32.Obfuscated.ft
Prevx1 V2 05.04.2007 Trojan.VCClient
Я отправил обоих в вирлаб ЛК, посмотрим, что скажут.
-
-
Bratez, спасибо!
А где находиться ibm00001.dll? В логах его я не увидел.
-
-
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll
А вот и ответ из ЛК про него:
Здравствуйте,
avz00009.dta - Trojan-PSW.Win32.Agent.lk
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail:
[email protected]
Хотя и не похоже, что он как-то задействован в системе, удалять будем по всем правилам:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Про iexplore.exe пока тишина.
Последний раз редактировалось Bratez; 04.05.2007 в 14:35.
-
-
Full Member
- Вес репутации
- 0
popcaploader_v5.cab не нашел, в HiJack пофиксил, ibm00001.dll успешно удалился.
Насчет IE - может, мне лучше пока под Оперой посидеть? И надо ли менять пароли (через Оперу, разумеется) везде, где я логинился через веб-интерфейс?
-
Насчет IE - может, мне лучше пока под Оперой посидеть? И надо ли менять пароли (через Оперу, разумеется) везде, где я логинился через веб-интерфейс?
Да, лучше пока пользуйтесь Оперой, а пароли меняйте обязательно.
-
-
Тем не менее файл IE лучше восстановить. По окончании процедуры сделайте новые логи с запущенным IE.
-
-
Full Member
- Вес репутации
- 0
Все сделал. На всякий случай прикрепил еще и логи от haxfix
Последний раз редактировалось AriaL; 30.05.2007 в 13:08.
-
Так всё чисто, эксплорер заменён на чистый из кэша .
Хотя меня смущает вот это :
F729C000 018000 (98304)
-
-
Full Member
- Вес репутации
- 0
Что это такое и что с ним делать?
-
Сообщение от
AriaL
Что это такое и что с ним делать?
Давайте так, avz-сервис-модули пространства ядра, найти и кликнуть на пустую чёрточку, которая вместо имени .Затем нажать на крайне правый айкон - "снять дамп памяти текущего модуля" .Нажать да.Получившийся файл, из папки AVZ загрузить сюда.
-