Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] troyan-psw.win32.agent.inf (он же «mcv»,«ljf») заблокировал реестр и шутит с клавой (http://forum.oszone.net/showthread.php?t=136891)

GlikaKery 06-04-2009 02:57 1085282
troyan-psw.win32.agent.inf (он же «mcv»,«ljf») заблокировал реестр и шутит с клавой
 
ИНФА ПО СИСТЕМЕ
малютка dell d600, os winxp pro версия 5.1.2600 sp2, железо intel pentium m, 1,6 ghz, 1 gb, права admin, сетки нет, шнурок в интернет (все лиценз., покуп., обновол. и т.п.)

ИНФА ПО ЗАРАЗЕ
тroyan-psw.win32.agent.inf обнаружен в тревожных сообщениях прог: drweb v433 и kaspersky anti-virus personal v50
оба антивируса обещают уничтожить «букашку» после перезагрузки, но для дрвеба и касперского она бессмертна.
в протоколе avz v4.30 подтверждается, что:


протокол антивирусной утилиты avz версии 4.30
Сканирование запущено в 05.04.2009 …
Загружена база: сигнатуры - 217499, нейропрофили - 2, микропрограммы лечения - 56, база от 05.04.2009 21:08
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ипу: 9
Загружены цифровые подписи системных файлов: 106028
Режим эвристического анализатора: средний уровень эвристики
Режим лечения: выключено
Версия windows: 5.1.2600, service pack 2 ; avz работает с правами администратора
Восстановление системы: отключено…
…3. Сканирование дисков c:\windows\system32\video.sys >>> подозрение на trojan-psw.win32.agent.mcv ( 09856a7e 06f31a32 000ece44 002799e1 28416

там же найдена еще одна «блошка»:

5. Поиск перехватчиков событий клавиатуры/мыши/окон (keylogger, троянские dll)
C:\windows\system32\vmmreg32.dll --> подозрение на keylogger или троянскую dll
C:\windows\system32\vmmreg32.dll>>> поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано

очень сомневаюсь про «Типичное для кейлоггеров поведение»!
vmmreg32.dll очень похожа на «keylogger или троянскую dll» но криво сделанную - часто при наборе текста в word или outlook начинаются «глюки»: то «spase» работает как «enter», то вдруг пару-тройку клавиш «залипает» и они «сами» бьют «тодкамтод- кан- кан»!
troyan и keylogger каким-то образом связаны, их back up’ы храняться в c:\windows\system32\webmin\ (video.bkp и vmmreg32.bkp), и они оба восстанавливаются при перезагрузке каким-то процессом, который запускается значительно раньше антивиров или даже перехватчиков, типа «отладчика процесса "taskmgr.exe" = "c:\...\ \procexp.exe"» - процесс эксплоуер от фирмы sysinternals
И ЕЩЕ
1\ troyan-psw.win32.agent.inf применяет «>> маскировку драйвера: base=f7837000, размер=28672, имя = "\??\c:\windows\system32\video.sys"»,
2\ при уничтожении записи реестра: hkey_local_machine\system\currentcontrolset\services\video


[hkey_local_machine\system\currentcontrolset\services\video]
"type"=dword:00000001
"start"=dword:00000001
"errorcontrol"=dword:00000000
"imagepath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,\
00,5c,00,56,00,49,00,44,00,45,00,4f,00,2e,00,73,00,79,00,73,00,00,00
"displayname"="video"
"group"="filter"
[hkey_local_machine\system\currentcontrolset\services\video\security]
"security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[hkey_local_machine\system\currentcontrolset\services\video\enum]
"0"="root\\legacy_video\\0000"
"count"=dword:00000001
"nextinstance"=dword:00000001
"initstartfailed"=dword:00000001

ничего не меняется, т.к. запись восстанавливается.
3\ болтовня avz, что он справится после перезагрузки:


для удаления файла c:\windows\system32\video.sys необходима перезагрузка
>>>для удаления файла c:\windows\system32\vmmreg32.dll необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> удален элемент автозапуска hkey_local_machine,software\microsoft\windows nt\currentversion\windows,appinit_dlls,vmmreg32.dll
[микропрограмма лечения]> удален элемент автозапуска hkey_local_machine,software\microsoft\windows nt\currentversion\windows,appinit_dlls,vmmreg32.dll

не оправдывается, avzguard - не запускается при следующей загрузке т.к. все активные записи реестра run,
(например hkey_local_machine\software\microsoft\windows\currentversion\run)
с момента инфицирования компа заблокированы для исправлений.

ПРОБЛЕМЫ
по той же причине не «встают» новые проги!
«прыгает» курсор, на клаве «spase» работает как «enter»!!
плывет политика безопасности: не закрывается доступ для «анонимов», заблокированы некоторые системные службы: типа ms «защитного экрана» или системного монитора процессов!!!
тормозит интернет, хотя это не так важно, что какие-то «форточки» по портам открыты, красть нечего…
СОМНЕНИЯ
отправлять virusinfo_cure.zip от avz побаиваюсь. не знаю что там «насканировано» - закрыт паролем, а virusinfo_syscheck.htm, и virusinfo_syscure.htm больше, чем выше сообщено, не скажут
с начала года, за время «борьбы с вирусами», мне удалось многое узнать…на эту тему, разочек вручную восстанавливала систему после «экспериментов с реестром», и даже при окончательно «сдохшей» консоли восстановления
сносить, типа, по советам некоторых «советчиков», на других темах: «format c:\», и ничего такого,…не хочется
ЖАЛОБЫ И СТОНЫ
много пишу контрольных работ в школе, и печатала до этого без проблем, а тут какой – то дурацкий «вирусенок» шутит с клавиатурой
я завелась, его уничтожу, но силы не велики, поэтому:
прошу помощи грамотных ребят!
выброс касперского на помойку и интим с семантиком не предлагать

thyrex 06-04-2009 09:34 1085402
Выложите логи в сообщении, а не цитаты из них

iskander-k 06-04-2009 09:37 1085405
GlikaKery, Здравствуйте. Выложите логи в соответствии с этими инструкциями.

Цитата:
Цитата GlikaKery
отправлять virusinfo_cure.zip от avz побаиваюсь. не знаю что там «насканировано» - закрыт паролем, а virusinfo_syscheck.htm, и virusinfo_syscure.htm больше, чем выше сообщено, не скажут »
Ничего секретного и угрожающего вашим личным интересам в логах не будет.

Котяра 06-04-2009 12:47 1085577
Цитата:
Цитата iskander-k
Цитата GlikaKery:
отправлять virusinfo_cure.zip от avz побаиваюсь. не знаю что там «насканировано» - закрыт паролем, а virusinfo_syscheck.htm, и virusinfo_syscure.htm больше, чем выше сообщено, не скажут »
Ничего секретного и угрожающего вашим личным интересам в логах не будет. »
virusinfo_cure.zip (который закрыт паролем) НЕ нужно выкладывать здесь!. Выложите:
Цитата:
Цитата iskander-k
virusinfo_syscheck.htm, и virusinfo_syscure.htm »
и лог HijackThis.

GlikaKery 06-04-2009 23:50 1086220
привет, os zon'a добрых дядей
отдаю свои логии в ваши руки
только чур без фокусов :tomato2: – c'est l'ordinateur de mon papa!
если что, … он меня прихлопнет как муху

Котяра 07-04-2009 00:07 1086240
GlikaKery, пофиксите в HijackThis:
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: c:\windows\system32\vmmreg32.dll
Выполните скрипт в AVZ:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('VIDEO', 4);
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\webmin\wmmreg32.bkp', '');
 QuarantineFile('C:\WINDOWS\system32\webmin\video.bkp', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteService('VIDEO');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('VIDEO');   
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. Файл quarantine.zip из папки с AVZ отправьте на koshkin@rbcmail.ru

thyrex 07-04-2009 00:09 1086243
Повторите логи (предварительно обновив базы AVZ)
Цитата:
Внимание !!! База поcледний раз обновлялась 11.03.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Котяра 07-04-2009 00:10 1086245
Цитата:
Цитата thyrex
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by. В теле письма укажите ссылку на тему »
А мне кажется, что появится не quarantine.zip, а virus.zip

thyrex 07-04-2009 00:22 1086267
Котяра,
Этого нет
Код:
C:\WINDOWS\system32\webmin\wmmreg32.bkp
C:\WINDOWS\system32\webmin\video.bkp
Добавьте
Код:
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');

Котяра 07-04-2009 14:29 1086780
Цитата:
Цитата thyrex
C:\WINDOWS\system32\webmin\wmmreg32.bkp
C:\WINDOWS\system32\webmin\video.bkp »
Да, этого нет в логах, но по описания вируса такое может быть. Ничего, если этого не будет.

Pili 07-04-2009 20:10 1087167
Котяра, если файлов нет, будет просто ошибка карантина, если есть файлы - пойдут в карантин.

Котяра 07-04-2009 21:02 1087213
Цитата:
Цитата Pili
Котяра, если файлов нет, будет просто ошибка карантина, если есть файлы - пойдут в карантин. »
Это я и имел ввиду.

GlikaKery 07-04-2009 23:08 1087319
так просто, зафиксировать в HijackThis и удалить?
да здравствует наша невинная, планета, породившая такое наивное вирусо-сочинительство!
а как быть с прыгающей «spase» = «enter»?


Цитата:
Цитата Котяра
После выполнения скрипта компьютер перезагрузится. Файл quarantine.zip из папки с AVZ отправьте на koshkin@rbcmail.ru »


никакого в AVZDirectory 'virus.zip' а или файла 'quarantine.zip'
почемуто нет :cool:
а интересно, зачем вам вирусы (их коды), солить?
и чем этот код можно посмотреть?

Severny 07-04-2009 23:13 1087324
Цитата:
Цитата GlikaKery
а интересно, зачем вам вирусы (их коды), солить? »
Вирусы (и их разновидности) рассылаются антивирусным вендорам.
Они исследуют.

GlikaKery 07-04-2009 23:27 1087338
так каким «мелкоскопом» исследуют?
и почему на «клаве» прыгает «spase» как «enter»?
«драва» вирус погрыз?

Severny 07-04-2009 23:33 1087343
GlikaKery,
Выполните.

Цитата:
Цитата GlikaKery
так каким «мелкоскопом» исследуют? »
Олькой.

Цитата:
Цитата GlikaKery
и почему на «клаве» прыгает «spase» как «enter»? »
А почему печатаете розовым? Вирус? Шифруетесь от votre papa?

Котяра 07-04-2009 23:57 1087363
Цитата:
Цитата GlikaKery
а интересно, зачем вам вирусы (их коды), солить? »
Лично я в вирлабы не отправляю, а просто проверяю по сервисам virustotal и ThreatExpert. У первых узнается имя вируса по категории антивирусов, вторые сообщают действия вредоносного кода, которые нужно знать для более полного удаления вируса. Наиболее интересные образцы запускаются на виртуальной машине :)


GlikaKery, повторите логи HijackThis и AVZ и выложите сюда.

GlikaKery 08-04-2009 23:23 1088396
Цитата:
Цитата Severny
А почему печатаете розовым? »
под цвет бантика

Котяра 09-04-2009 00:01 1088430
Цитата:
Цитата GlikaKery
под цвет бантика »
Не советую злоупотреблять цветовым выделением и увеличенным шрифтом, это раздражает.

GlikaKery 09-04-2009 00:51 1088457
Цитата:
Цитата Котяра
Не советую злоупотреблять цветовым выделением и увеличенным шрифтом, это раздражает »
size=0 - это не увеличение. котику понравились мои логи? это интересные образцы?
могу отправить «на ПМ», если он удалит старые чужие сообщения

и что же все-таки с клавиатурой? удалила и установила драйв – тоже самое!

thyrex 09-04-2009 01:02 1088464
Девушка с розовым бантиком, повторите, наконец, логи HijackThis и AVZ и выложите сюда

GlikaKery 10-04-2009 22:20 1090472
Цитата:
Цитата thyrex
логи HijackThis и AVZ и выложите α ... пожалуйста ... ω? сюда »

Vadikan 10-04-2009 23:37 1090526
GlikaKery,
Общие правила - см. пункты 3.7, 3.8. Предупреждение. Кроме того, не нужно писать сообщения мелким цветным шрифтом или с наклоном - это затрудняет чтение.

В следующем сообщении выполните предложение из сообщения 21. Если это не будет сделано, тему закрою - здесь не детский сад.

Кокетничать будете во Флейме, и то после того, как вашу проблему исправят. Если вам требуется "пожалуйста", считайте, что thyrex сделал книксен в сообщении 21.

GlikaKery 11-04-2009 23:52 1091390
ой, ой, ой, кто нам туты «неуды» по поведению ставит?
страшный и всемогущий демон – ад- министр…
мою тему вы не сможете закрыть, она закрыта!
вирусенки давно отдыхают на карантине, ждут амнистии, когда я их выпущу погулять в машину учителя по информатике в своей «любимой» школе.
комп шепчет свои коды, papa tape le rapport et se fâche, и теперь мне не так уже и нравятся кошки.

спасибо, вы дали мне навыки работы с прикладным по, avz просто чудо!!!.
дальше сама справлюсь.

на прощание хочется сказать. взрослые дяди, то над чем вы упираетесь, «кибервирусы» ваши - ДЕТСКИЙ САД. они также далеки от вирусов, как «железная башка» производства intel с «мелкомягкими мозгами» ms от искусственного интеллекта.
вся героическая борьба с вирусами, уважаемые дон’ы кихот’ы, – это всего-то - противодействие экономическим и социальным причинам необходимости «кихотами» и «донами» распространять эту заразу.

а вот ответьте на вопросы: как построен природой разум, и почему нет строгого «протокола обмена» между особями в живой природе?
почему живая химия не инвариантна по оси лево-право, и в чем в таком случае гармония жизни?
почему живое спит? зачем человеку такие мощные свободные ресурсы памяти, и огромные резервы мозга при столь медленных скоростях обработки информации сознанием?

ответите, сделаете шаг в понимании основ кибернетики искусственного разума, и … искусственного вируса.
пообщаемся, пишите, а пока вам рано еще в школу!
детский сад какой-то…


Время: 12:08.

Время: 12:08.
© OSzone.net 2001-