Перейти к содержимому


- - - - -

Словил вирус


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 Dark

Dark

    Посетитель

  • Members
  • PipPip
  • 70 сообщений

Отправлено 19 Декабрь 2006 - 20:17

Словил вирус Win32:Small-DLU [Trj]. Что делать?

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   87,35К   26 Количество загрузок:


#2 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Декабрь 2006 - 20:24

Жесть какая! Зверь с руткитом!  :)
А давайте ка вот так лучше логи сделаем, а то тут можно не угадать с первого раза:

Цитата

Скачайте свежую AVZ по ссылке ниже:
ftp://himki.net/Soft/antivir-center/AVZ/avz.zip
Распакуйте программу. Запустите AVZ.exe
Зайдите в пункт меню, указанный на рисунке ниже, и поставьте галочки противодействия Rootkit'ам, затем нажмите на "Пуск"
Прикрепленный файл attachment
После окончания проверки зайдите в "Файл", "Исследование системы", там в очередной раз нажмите на "Пуск" и проведите исследование системы. Полученный в результате .htm файл упакуйте в архив и сюда прикрепите!
И дополните картину логом от Hijack this:
ftp://himki.net/Soft/antivir-center/Hijac.../HijackThis.exe
тут придется еще реестр подчищать после всего!

как удалить корректно и без последствий скажу после вторых логов.

Прикрепленные файлы

  • Прикрепленный файл  avz.jpg   54,11К   19 Количество загрузок:


#3 Dark

Dark

    Посетитель

  • Members
  • PipPip
  • 70 сообщений

Отправлено 19 Декабрь 2006 - 20:36

вот

Прикрепленные файлы



#4 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Декабрь 2006 - 20:49

AVZ - Файл - Выполнить скрипт:
Код:

Цитата

begin
  SearchRootkit(true,true);
  SetAVZGuardStatus(true);
  QuarantineFile('c:\windows\system32\ogysteo.exe','');
  QuarantineFile('C:\WINDOWS\system32\xNlkop.dll','');
  QuarantineFile('C:\WINDOWS\system32\slbipsch.dll','');
  DeleteFile('c:\windows\system32\ogysteo.exe');
  DeleteFile('C:\WINDOWS\system32\xNlkop.dll');
  DeleteFile('C:\WINDOWS\system32\slbipsch.dll');
  ExecuteSysClean;
  RebootWindows(true);
end.

После перезагрузки удалите через Hijack this строчки:

Цитата

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c56 -w20
O4 - HKLM\..\Run: [port windows] C:\WINDOWS\system32\ogysteo.exe
O4 - HKCU\..\Run: [port windows] C:\WINDOWS\system32\ogysteo.exe
O20 - AppInit_DLLs:  psapdani.dll e1.dll
O20 - Winlogon Notify: fanxctrl - fanxctrl.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll
После всего повторите лог иследования через AVZ  в виде htm файла!

#5 Dark

Dark

    Посетитель

  • Members
  • PipPip
  • 70 сообщений

Отправлено 19 Декабрь 2006 - 20:52

что такое скрипт? как удалять через Hijack?

#6 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 19 Декабрь 2006 - 20:52

Еще нашел


Цитата

Это новый троян!
Я его только что изоблечил и удалил от себя.....

сейчас я попробую Вам всем помочь......
Опишу подробно процесс удаления этого вредоносного ПО

Посвящается модераторам, администраторам сайтов, серверов….

Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.progr...ng-security.ru) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://*********.com...ter1/index.php" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://****rver.com/...load.exe/RLPack - как видите адрес указан в строке….

(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)

А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:

Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым 

после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..

P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….

Скоро выйдет утилита для излечения от ogysteo…

Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot admin@programming-security.ru


#7 Dark

Dark

    Посетитель

  • Members
  • PipPip
  • 70 сообщений

Отправлено 19 Декабрь 2006 - 20:57

что такое скрипт? как удалять через Hijack?

#8 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 19 Декабрь 2006 - 20:58

Проделай мои манипуляции для начала, потом скажу как и что дальше

#9 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 19 Декабрь 2006 - 21:01

Просмотр сообщенияDark (19.12.2006, 20:52) писал:

что такое скрипт?
скрипт в данном случае - это микропрограмма для AVZ
AVZ -> Файл -> Выполнить скрипт, вставить нижеуказанный текст

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\ogysteo.exe','');
QuarantineFile('C:\WINDOWS\system32\xNlkop.dll','');
QuarantineFile('C:\WINDOWS\system32\slbipsch.dll','');
DeleteFile('c:\windows\system32\ogysteo.exe');
DeleteFile('C:\WINDOWS\system32\xNlkop.dll');
DeleteFile('C:\WINDOWS\system32\slbipsch.dll');
ExecuteSysClean;
RebootWindows(true);
end.
нажать на Запустить, наслаждаться зрелищем.

Цитата

как удалять через Hijack?
http://virusinfo.inf...read.php?t=4491

Цитата

Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени
аффтар жжот!  ^_^

#10 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 19 Декабрь 2006 - 21:16

хз... жжот или нет....

Но люди сказали спасибо, т.е. все удалилось ^_^


Не побоюсь дать ссылку

http://virusinfo.inf...read.php?t=6901

Просьба за это не ставить %

Сообщение отредактировал Alucard: 19 Декабрь 2006 - 21:20


#11 Dark

Dark

    Посетитель

  • Members
  • PipPip
  • 70 сообщений

Отправлено 20 Декабрь 2006 - 14:27

сори, что не писал инет отключили вчера . Вот сделал как сказали

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   37,71К   4 Количество загрузок:


#12 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 20 Декабрь 2006 - 14:41

Все, звери умерли.

#13 Dark

Dark

    Посетитель

  • Members
  • PipPip
  • 70 сообщений

Отправлено 20 Декабрь 2006 - 14:46

спасибо




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных