Новая тема   Ответить

 Serha
Xen писал:
у меня нашлись 2 файла из списка указанным антиспаем и благополучно удалены, за час до этого касперски нашел один файлик после скачивания свежих баз...

 A d u l t
Домен updates-microsoft.com засуспендили.
Главное теперь чтобы его никто не перехватил и не сделал там свою какашку.
Но ближайшие несколько дней народ может спать спокойно. И я пойду спать

 A d u l t
trankimaza писал:
Вроде совсем неактуально...

 VESTAL
в общем чудеса продолжаются-только что AMON NOD словил это чудо-C:\System Volume Information\_restore{9B95298B-DA88-402B-8B93-27A7414678E7}\RP89\A0022120.exe вероятно неизвестный NewHeur_PE вирус изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин.
зы попытка зайти в папку System Volume Information-отказано в доступе

Последний раз редактировалось: VESTAL (09/10/06 в 22:56), всего редактировалось 1 раз

 benzole
Адалт молодец, spamhunter прямо )

 solyps
A d u l t, большое тебе спасибо за то, что ты делаешь

(сорри за боян)

 A d u l t
С hxxp://windows.updates-microsoft.com/6248x1-248Q9297/ редиректит на мастер. Это нормально или я что-то упустил?

 A d u l t
Лекарство готово !!!
Всем тем, кто заходил на masster или запускал antipioner.exe необходимо проделать вышеперечисленные действия как можно быстрее!

Создать файл cure.reg со следующим содержимым:
Код:
Затем сохранить его, далее запустить, на вопрос внесения изменений ответить утвердительно и тут же перезагрузиться. Те, у кого система была поражена, загрузка будет происходить долго. Почему долго - читайте историю ниже.

После того, как система загрузится, идем в реестр (запускам regedit.exe) и удаляем ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX

Теперь лезем в папку windows\system32 и ищем там файлы:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*
Если находим, то удаляем их.
После всего этого ищем эти же файлы по всей системе и тоже их удаляем, если находим.

А теперь история развития событий:
1. С помощью рассылки злоумышленник сажает всем на компьютер некий DLL файл, который прописывается в ветке реестра
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy.
Вся хитрость состоит в том, что в ветке реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
прописываются *.dll файлы, которые должны загружаться программой winlogon.exe С помощью этой программы осуществляется вход под логином и паролем в систему.
2. Мы все узнаем об этом и вытираем эту ветку реестра и файлы с системы.
3. Злоумышленик улучшает троян - он добавляет в него модуль невидимости и выкладывает его в виде средства для удаления трояна. Этот модуль внедряется в Api Windows и запрещает нам видеть вышеперечисленные файлы в файловой системе и вышеперечисленные ключи в реестре. Тем самым якобы antipioner.exe действительно удаляет все файлы и ключи реестра, однако на самом деле он их маскирует.

Принцип действия лекарства:
Каждый раз, когда жертва логинится в систему, вместе с программой winlogon.exe подгружается вредоносный модуль. Даже когда мы загружаем систему в safe-mode режиме, все равно мы логинимся, а как следствие - запускается опять вредоносный модуль, который скрывыет от нас файлы и ключи в реестре даже в защищенном режиме. Вышеобозначенный файл cure.reg заменяет имя запускаемого *.dll файла на пустое. В результате после перезагрузки система не может загрузить вредоносный *.dll файл и немного подтормаживает при загрузке. Таким образом мы загружаем систему без запущенного вредоносного файла и опа - мы видим вредоносные ключи реестра и сами вредоносные файлы.

PS: Народ, просьба всем отписываться о результатах в этом топике.

 A d u l t
Странно - что-то никто ничего не пишет... Не уж то у всех винда слетела после моего reg-файла?

Шучу У меня на тестовой машине все прошло удачно.

 Napoleon
Привет!
расскажу свою историю...
я тоже кликнул, затем все зависло...
потом(как ты сказал) посмотрел папку windows\system32 , там нашел файл файл winupdate.dll,
но он не удалялся даже в сейф моде.... короче забил....
а на следующий день там в system32 появился и wsp2update... но эти 2 файла слехкостью удалились и даже winupdate.dll
Антипионером не пользовался.... слишком мне странно это показалось.... вот
Но осталась проблема.... комп долго грузился, вернее основная загрузка проходила нормально, а
долго грузилось когда при входе в систему вводиш пароль и ентер... вот тогда да... приходилось ждать несколько минут...

СОЗДАЛ cure.reg как ты сказал... перезагрузил
и хоть ты сказал что должен грузится долго, у меня на удивление комп перезагрузился очень быстро, даже сам удивился и
залогинился быстро, несколько секунд....в реестре ту херню тоже удалиил...
Тех файлов больше не находил... вот ...
ADULT , спасибо...

 moniker4
Хмм, у меня уже немного параноя,.. но ты как нибудь мог бы доказать что ты хороший а не мальчиш-плохиш. Ведь антипионер тоже предлагал действия от излечения - но в итоге натянул еще Х людей на заразу.

 moniker4
Вообще лучше дать это гавно на исследование профессионалам, скажем людям из DrWeb - это их работа. Может поговоришь с ними, Адулт?

 MyTraf
А разве для этого нужны специальные связи?
Я вот например еще вчера им отослал образец для ковыряния.
Пока правда не ответили, хотя обычно буквально за несколько часов разбирают и добавляют лекарство в текущую базу. Я им так уже 4 вируса раньше сдавал.

 A d u l t
moniker4 писал:
С радостью, но как? Могу выложить что-нить на мой хост adult-inc.biz в подтверждение... Только мало кто знает, что это мой хост...

 A d u l t
moniker4 писал:
Ты не считаешь меня за профессионала?

 Evilin
у меня было так:
попал на masster-x
ишак повис. закрыл окно. понял неёбку.

НЕ запуская никаких антипионеров стал искать вышеперечисленные файлы - нету. стал искать параметры в реестре - тоже там пусто.

есть ли смысл лечиться мне?..

 INTELigent
сорри за глупый вопрос
файл создавать какого расширения?

 Spander
у меня такая же история как у Evilin:
и тот же вопрос: нужно ли мне лечиться?

INTELigent: там же написано: создать файл cure.reg
тоесть расширение reg

 A d u l t
Evilin писал:

2 ваиранта:
Либо експлоит некорректно отработал, либо установилась новая версия загрузчика, которая скрывается.

Чтобы проверить, инфицирован ли комп, надо залезть в реестр в ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
и посмотреть там раздел wscntfy
Если установлена версия загрузчика трояна с модулем сокрытия, то в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
надо попытастся создать раздел wscntfy
(Абсолютный путь раздела будет
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy).
Если раздел создался - значит Вы не инфицированы, если при создании раздела вылезло сообщение от regedit о том, что такой раздел существует, однако вы его там не видите - это значит что Вы инфицированы загрузчиком трояна с модулем сокрытия.

 SmoG
Хм, странно... кликнул на линку в письме, ИЕ вылетел с ошибкой, но ни файлов, ни ключей в реестре нет. Сейчас попробовал создать раздел wscntfy - это удалось. Получается я не инфицирован?

зы: на линку нажал сразу по приходу письма, т.е. около 8 утра, вот подумалось, может там в это время какая-то иная модификация экспа лежала, либо он просто некорректно отработал, как сказал Adult...

Но, в любом случае, огромный тебе респект Adult за то, что делаешь благое дело!

 Evilin
создал раздел в реестре. никаких мессаг. я думаю меня пронесло.

в любом случае глубокая уважуха Adult'у.

 Cepera
мне так показалось что я тоже нажал на линку но вовремя заметил что домен не тот и ничего не поставилось мне. После чего я подумал может была просто сделана проверка на активность акка, будут ли нажимать на ссылку и тп.

вот, спустя какое то время мне пришло снова письмо но только на тот акк с которого я нажал на ссылку и не успел троян сработать или еще чего. Этого я так понимаю на данный момен не знает ни кто кроме одного человека.

Вот сижу и думаю, поставилось мне что то или все таки чист я.

PS. Все что писал Adult я проверил и ничего не нащел.

 A d u l t
SmoG писал:
Получается, что не инфицирован. Однако я не могу утверждать это на 100%. Злоумышленник мог изменить ключ реестра wscntfy на какой-нибудь другой, хотя я этого не встречал.

Чтобы проверить этот вариант - берем программу Process Explorer (www.sysinternals.com), запускаем. В меню выбираем Find -> Find DLL
в строке поиска по очереди вводим и ищем такие фразы: wsp1 wsp2 winup A37

Если находится какой-нибудь dll файл, привязанный к процессу winlogon.exe, то скорее всего это этот вирус. Предварительно имя найденой DLL выкладываем сюда и консультируемся со мной.

PS: Всем советую прогу Process Explorer, так как она реально показывает стоющую информацию о процессах, творящихся в системе.
Тоесть какие процессы запущены, какие DLL файлы они используют, открывают ли socket-соединения и т.д.
Вообщем must have

 A d u l t
Сейчас почему-то слетела сессия с форумом.
Либо Sortunity что-то ковыряет в форуме, либо пионер пытается от меня постить. Так что ахтунг.
Относитесь поаккуратнее к моим постам.
Или просто паранойя...

Последний раз редактировалось: A d u l t (10/10/06 в 16:25), всего редактировалось 1 раз

 VESTAL
В общем так. Сделала всё как ты уважаемый Adult написал. После запуска и перезагрузки .reg смотрю реестр-ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy -удаляю
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX-такой нет,
даее ищу все файлы виндовской искалкой и той, что ты вчера рекомендовал-ничего нет.
Запускаю Process Explorer-ищу фразы wsp1 wsp2 winup A37, на поиск A37 он мне выдаёт-процесс services.exe, тип- handle, handle or DLL-\BaseNamedObjects\SvcctrlStartEvent_A3752DX
Это оно? И что с ним делать?