Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] модифицированный Win32/Injector.KT троян (http://forum.oszone.net/showthread.php?t=136807)

pressmark 04-04-2009 21:30 1084250
модифицированный Win32/Injector.KT троян
 
Вложений: 2
Доброго времени суток!
У меня проблема - никак не избавиться от зверя (модифицированный Win32/Injector.KT троян - по терминологии NOD32 или backdoor - по терминологии Dr.WEB). При сканирования антивирусами (NOD32 и cureit) обнаруживается и благополучно удаляется, но при следующем включении объявляется вновь! И так уже недели две! По мимо обязательных трех логов предоставляю лог вирусов из NOD32 (извините за его вид - не знаю как в NODе он импортируется)

Severny 04-04-2009 23:40 1084340
Отключитесь от интернет на время лечения.
Скачайте ATF-Cleaner и удалите временные файлы.
Включите брандмауэр Windows, если не собираетесь использовать сторонний файрволл.
Скачайте kidokiller и запустите.
Поставьте заплатки, а лучше обновитесь до SP3

В HijackThis поставьте галочку перед значением и нажмите Fix Checked
Код:
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
В AVZ меню Файл - Выполнить скприпт. Скопируйте код и нажмите "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 SetServiceStart('msile', 4);
 DeleteService('msile');
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 DeleteFile('C:\WINDOWS\system\msile.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните еще скрипт.
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин вышлите в РМ.
Повторите логи.

Vadikan 05-04-2009 02:21 1084460
Severny, нужно собрать все в один скрипт.
Удаленные сообщения процитированы ниже


Цитата:
Хм, что-то не видно вирусов в логах AVZ и HijackThis. Единственное - msile.exe. Правда, по логу NOD32 видны некоторые вирусные файлы.
Выполните скрипт в AVZ:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\services.exe', '');
 QuarantineFile('C:\WINDOWS\system\1sass.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys', '');
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 SetServiceStart('msile', 4);
 DeleteService('msile');
 DeleteFile('C:\WINDOWS\system\msile.exe');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.
Компьютер перезагрузится. Файл quarantine.zip обязательно отправьте на koshkin@rbcmail.ru

Цитата:
Цитата Severny
SetServiceStart('msile', 4); »
Severny, а это обязательно надо добавлять перед "DeleteService('msile');"? Просто я еще учусь заниматься "хелперством".
Цитата:
Перед выполнением скрипта отключить защитное ПО (антивирус). Включить брандмауэр Windows
Выполнить скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 DeleteService('msile');
 DeleteFile('C:\WINDOWS\system\msile.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by, указав в теле письма ссылку на тему

Пофиксить в HiJack
Код:
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O23 - Service: microsoft install le (msile) - Unknown owner - C:\WINDOWS\system\msile.exe (file missing)
Повторите логи.

Severny 05-04-2009 09:21 1084528
Ссылки на повторные логи, которые по ошибке присланы в PM.
читать дальше »

Цитата:
Цитата Vadikan
Ссылки не будут работать, потому что файлы прикреплены к личному сообщению.

pressmark 05-04-2009 11:55 1084596
Severny, прошу прощения за не туда выложенные повторные логи (я еще не совсем разобрался в тонкостях поведения на данной конференции).
Данные логи были получены после выполнения рекомендаций Severny в посте №2.
Также спасибо всем кто откликнулся на мою просьбу о помощи.
Жду комментариев по повторным логам!

pressmark 05-04-2009 12:11 1084615
Вложений: 1
Выкладываю повторные логи.

Котяра 05-04-2009 14:21 1084691
pressmark, я не вижу ничего подозрительного в Ваших логах.
Все же выполните этот скрипт:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\services.exe', '');
 QuarantineFile('C:\WINDOWS\system\1sass.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.
В папке с AVZ появится файл quarantine.zip. Его отправьте на koshkin@rbcmail.ru
Если его не будет, ничего отправлять не надо.

pressmark 05-04-2009 16:24 1084767
Котяра, скрипт выполнил, файл карантина появился, но он пустой. В протоколе AVZ показал следующие ошибки:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\services.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\services.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\1sass.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\1sass.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\sysdrv32.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\sysdrv32.sys)
Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено

Я так понимаю, что все нормально? Если нужен файл карантина, отпишитесь - я вышлю куда Вы указали.

Котяра 05-04-2009 17:44 1084821
pressmark, значит, этих файлов у Вас нет. А в чем собственно проблема? NOD ловит вирус. Может, это атаки из локальной сети?

pressmark 05-04-2009 20:01 1084914
Пока все хорошо. Спасибо за помощь! Просто за последние две недели я уже привык по несколько раз на дню удалять вирусы - очень на нервы давит! Может и из локальной сети, потому что у знакомых такая же проблема (msile.exe), а как проверить из локальной сети или нет?

iskander-k 05-04-2009 20:42 1084947
Цитата:
Цитата pressmark
Просто за последние две недели я уже привык по несколько раз на дню удалять вирусы - очень на нервы давит! »
Пора уже установить хороший антивирус и забыть эту дурную привычку
Цитата:
Цитата pressmark
по несколько раз на дню удалять вирусы »
:)

Pili 06-04-2009 11:23 1085486
pressmark, в логах чисто. По другим компьютерам можете создать новую тему можете и сделать логи по правилам .
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Советую отключить неиспользуемые службы, отключить автозапуск со съемных носителей и настроить безопасность.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ


Время: 02:55.

Время: 02:55.
© OSzone.net 2001-