Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   IRC Trojan (http://forum.oszone.net/showthread.php?t=116938)

Master-ok 11-09-2008 18:36 896578

IRC Trojan
 
Раз или два на день Symnantec находит два файла типа: C:\user\{юзер}\appdata\local\temp\dwh3f50.tmp. Причем .tmp всегда разный. Ставил программы для удаления троянов, сканил систему другим антивиром (Авира) - ни чего не находит. Подскажите как с этим бороться?
ОС Vista Ultimate SP1 х64
Avz4 виснет и вылетает

Pili 11-09-2008 19:22 896605

Master-ok, c помощью cureit и AVPTool проверялись? AVZ запускали с правами администратора (прав. кн. мыши - запустить от администратора)? Могли бы и логи DSS сделать по правилам. Деинсталлируйте Trojan Remover

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению.

Попробуйте сделать логи AVZ, запустив его с правами администратора.

iskander-k 11-09-2008 19:22 896606

А сюда на онлайн проверку заходили ?

Master-ok 12-09-2008 09:59 897033

Malwarebytes' Anti-Malware после быстрой проверки (полная после ни чего не дала):
Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1141
Windows 6.0.6001 Service Pack 1

11.09.2008 18:38:52
mbam-log-2008-09-11 (18-38-36).txt

Тип проверки: Быстрая
Проверено объектов: 39700
Прошло времени: 2 minute(s), 23 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 5
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Program Files (x86)\WebMoney Advisor\tbhelper.dll (Trojan.BHO) -> No action taken.

ComboFix не поддерживает операционку
AVZ4 (как я писал) запускается, но при выполнении 3-го скрипта зависает и вылетает
cureit : mycentriainfobar.dll c:\program files (x86)\mycentria\infobar

Pili 12-09-2008 11:03 897068

Один только лог HJT малоинформативен, нужны др. логи
Цитата:

Цитата Master-ok
ComboFix не поддерживает операционку »

Combofix and SDFix for Vista ? - MajorGeeks Support Forums
Vista Cleaning Procedure - MajorGeeks Support Forums
A guide and tutorial on using ComboFix
Цитата:

Цитата Master-ok
No action taken »

Вы кн. "Remove Selected" нажимали? Или сначала лог открыли, а потом "Remove Selected" нажали?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"
Код:

O2 - BHO: MyCentria Internet Mate v1.9 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.7.cab

Остановите и удалите сервис appdrvrem01 - пуск - выполнить sc delete appdrvrem01 и файл C:\Windows\System32\appdrvrem01.exe (или можете перенести в др. место)
или выполните в AVZ скрипт
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
 QuarantineFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DeleteFile('C:\Windows\System32\appdrvrem01.exe');
 DeleteFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DeleteService('appdrvrem01');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Попробуйте отключить антивирус (или деинсталлировать) и др. защитные программы и сделать логи AVZ и DSS

Master-ok 12-09-2008 12:57 897140

"Remove Selected" нажал сразу после сканирования
"Fix Checked" сделал, вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ...
А AVZ не за работал ни при каких уловиях. Останавливается после (красным пишет протоколе) Функция user32.dll:DefWindowProcW(151) перехвачена, метод ProcAddressHijack.GetProcAddress->77...

Pili 12-09-2008 13:49 897168

Цитата:

Цитата Master-ok
вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ... »

http://www.greatis.com/appdata/d/m/mycent~1.dll.htm

Попробуйте запустить combofix в безопасном режиме.
Попробуйте сделать логи так
AVZ - файл - исследование системы - пуск - сохранить протокол
Если не получится, то в безопасном режиме
AVZ - файл - исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - пуск - сохранить протокол
Запакуйте лог и прикрепите.
Логи DSS тоже не делаются? В таком случае скачайте RSIT и сохраните на рабочий стол, закройте все программы, включая антивирусные программы и firewall, запустите RSIT.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла log.txt и info.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из log.txt и info.txt и вставьте (Ctrl+V) скопированный текст из log.txt и info.txt в окно вашего сообщения, если логи окажутся большими, запакуйте файлы log.txt и info.txt и прикрепите к сообщению

Master-ok 12-09-2008 15:31 897240

Combfix не работает

Pili 12-09-2008 17:51 897361

Master-ok, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('appdrv01');
 SetServiceStart('appdrv01', 4);
 QuarantineFile('C:\Windows\System32\Drivers\appdrv01.sys','');
 QuarantineFile('C:\Windows\VMix.dll','');
 DeleteService('appdrv01');
 DeleteFile('C:\Windows\System32\Drivers\appdrv01.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('appdrv01');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Повторите логи AVZ

Master-ok 12-09-2008 18:30 897388

Вообщем скрипт не выполнился - программа вывалилась с ошибкой (см. выше). Удалил все в ручную. После перезагрузки выкинуло ошибку на запуск программы управления звуковым кодеком СМ6501 (панель в трее тоже не заработала).
Что интересно, при удалении VMix.dll винда говорила о том, что используется другим приложением. Но удалить попыталась, при этом выскочил Symayntec. Были обнаружены файлы как описывал в топе с IRC Trojan

Pili 12-09-2008 18:46 897398

Цитата:

Цитата Master-ok
при удалении VMix.dll »

Этот файл скриптом не удалялся, только брался на карантин, проверьте файл на virustotal.com
Вручную удалять чревато, в реестре останется мусор, соответственно при старте могут появиться ошибки (т.к. не чиститься реестр)

Master-ok 15-09-2008 10:17 899540

Скрипт тут не причем - он не выполнился
Цитата:

Цитата Pili
Вручную удалять чревато, в реестре останется мусор, соответственно при старте могут появиться ошибки (т.к. не чиститься реестр) »

это то понятно. Яно одно - этот файл к вирусу отношения не имеет, т.к. даже после его удаления вирус остался ...

Pili 15-09-2008 11:15 899586

Master-ok, по представленным логам, кроме файлов, которые карантились скриптом, не вижу к чему можно придраться. Другими антивирусами проверялись (AVPTool, cureit)?
Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на третью кнопку в верхнем меню - (кнопка Export). Сохраните отчет в формате .html, заархвируйте лог и вложите в сообщение.
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

Master-ok 15-09-2008 14:39 899800

AVPTool, cureit и Avira ни чего не дали. Я и сам удивлен, что ни чего кроме этих tmp-ых файлов не нашел(по этому и обратился к вам).

Pili 15-09-2008 21:48 900172

Master-ok, по логам ничего плохого не видно

Master-ok 16-09-2008 18:29 900981

Тогда что это? Сегодня опять антивир выдал, но уже 16 файлов :(

Pili 16-09-2008 19:51 901067

Цитата:

Цитата Master-ok
опять антивир выдал »

С каким диагнозом? Возможно ложное срабатывание, рекомендую временно удалить антивирус SEP (для защиты можете вкл. встроенный брандмауэр), после чего попробуйте сделать нормальные логи AVZ (не забудьте запустить от администратора), ComboFix и Deckard's System Scanner(DSS)
Можете провериться другими антивирусами - free antivirus software , рекомендую (не забудьте обновить антивирусные базы) Avira AntiVir, F-Secure Online Virus Scanner, SUPERAntiSpyware
После проверки можете вернуться к SEP


Время: 02:52.

Время: 02:52.
© OSzone.net 2001-