Только текст | Текст с изображениями

CompoWiki Форум

Интернет и Сети => Безопасность => Тема начата: XSunX от 09 сентября, 2005, 19:21:02

Название: Спай в ИЕ
Отправлено: XSunX от 09 сентября, 2005, 19:21:02
Словился кто-то и его не вычистить...
AdAware находит ключ в реестре, бодро его удаляет, после перезагрузки опять его же бодро удаляет, и опять... AVZ говорит, что всё чисто. Ни и др.Вэб молчит как партизан...
В ИЕ в качестве домашней страницы сидит сайт _http://www.joyiex.com, кнопки, позволяющие выбрать что-нибудь другое в Настройках, неактивны. Линк на этот же сайт, оканчивающий файликом с расширением .exe, самопроизвольно рассылается Mail.Ru Agent-ом.
А главная проблема в том, что комп рабочий и прав доступа у меня на нем очень мало.
Вот кусок лога HijackThis (всё, что я сама знаю, удалила для краткости):

Код Выделить
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = [url=http://www.joyiex.com]http://www.joyiex.com[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.chance.ru:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=Explorer.exe prnit.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [ctfnom.exe] C:\WINDOWS\SVOHOST.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103632864609]http://v5.windowsupdate.microsoft.com/v5co...b?1103632864609[/url]

Может можно его как-нибудь ручками удалить? Без сканирования в безопасном режиме и прочих сложностей...  :unsure:
Название: Спай в ИЕ
Отправлено: abram4 от 10 сентября, 2005, 01:15:00
Вот сегодня нашел такую прогу - a-squared HiJackFree (http://www.hijackfree.com/en/), инсталляции не нужно, много чего показывает, есть какой-то онлайн анализатор. Кое-что даже можно выключить. Попробовать можно.

Еще можно попробовать починить IE утилиткой IEFix (http://windowsxp.mvps.org/IEFIX.htm).

ЦитироватьO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
[snapback]1808[/snapback]
Это кнопка в трее от Intel видео карточки. Если карточка не Интел, надо задуматься.


ЦитироватьO4 - HKCU\..\Run: [ctfnom.exe] C:\WINDOWS\SVOHOST.exe
[snapback]1808[/snapback]
А это - на трояна (http://www.greatis.com/appdata/d/_/_windir__svohost.exe_Removal.htm) похоже. И еще здесь (http://alekseykopylov.susu.ru/e2/2005/08/12/1) о нем же.

ЦитироватьF2 - REG:system.ini: Shell=Explorer.exe prnit.exe
[snapback]1808[/snapback]
Это тоже какая-то непонятная штука. Судя по тому, что здесь (http://www.aluriasoftware.com/forum/thread969.html) и здесь (http://sandbox.norman.no/live_2.html?logfile=279456) prnit и joyiex упоминаются в паре, эта гадость колхозом вместе с svohost работает как ванька-встанька. Надо всех вместе прибивать.

И конечно же, показать файлы ребятам с http://virusinfo.info/ (http://virusinfo.info/)
Кстати, а AVZ свежий ?
Название: Спай в ИЕ
Отправлено: -=\SeaWolF/=- от 10 сентября, 2005, 08:19:25
Гм я жу вам уже гворил бырышня TAsklist и Taskkill
Быстро создаешь пакетный файл
и делаешь в нем вот что:

listing free.cmd
Цитироватьregedit /s fix.reg
taskkill /PID [номер процесса] ...  /PID [номер процесса] /T /F
Где [номер процесса] - номера процессов указанных по tasklist
Где
listing fix.reg
ЦитироватьWindows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://ya.ru"
"Start Page"="http://ya.ru"
"SearchURL"=-
"Default_Search_URL"=-
"Default_Page_URL"=-
"Local Page"=-
"Search Bar"=-
"NoUpdateCheck"=dword:00000001
"NoJITSetup"=dword:00000000
"Disable Script Debugger"="no"
"Show_ChannelBand"="No"
"Anchor Underline"="yes"
"Cache_Update_Frequency"="Once_Per_Session"
"Display Inline Images"="yes"
"Save_Session_History_On_Exit"="no"
"Show_FullURL"="yes"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes"
"Show_URLToolBar"="yes"
"Use_DlgBox_Colors"="yes"
"Enable Browser Extensions"="no"
"NoWebJITSetup"=dword:00000000
"Play_Background_Sounds"="yes"
"Play_Animations"="yes"
"Display Inline Videos"="yes"

вобщем пофикси )
Название: Спай в ИЕ
Отправлено: XSunX от 12 сентября, 2005, 01:53:43
Спасибо!!!  :) :clap_1: :)
Это был троян. И он убит! :clap_1: Ручками. В реестре. Под чутким он-лайн руководством SeaWolF-а. Самостоятельно в реестр на рабочем компе я побоялась лезть :)
Цитироватьa-squared HiJackFree, инсталляции не нужно, много чего показывает, есть какой-то онлайн анализатор.
[snapback]1809[/snapback]
Очень симпатичная программка оказалась. Показала, что вместе с Эксплорером грузится ещё что-то.

ЦитироватьСудя по тому, что здесь (http://www.aluriasoftware.com/forum/thread969.html) и здесь (http://sandbox.norman.no/live_2.html?logfile=279456) prnit и joyiex упоминаются в паре, эта гадость колхозом вместе с svohost работает как ванька-встанька. Надо всех вместе прибивать.
[snapback]1809[/snapback]
Так оно и оказалось :) Ещё ctfnom.exe.

ЦитироватьИ конечно же, показать файлы ребятам с http://virusinfo.info/ (http://virusinfo.info/)
Кстати, а AVZ свежий ?
[snapback]1809[/snapback]
Файлы я выкинула с перепугу. Кстати, когда выкидывала, проснулся супер-антивирус др.Вэб и заорал, что у меня в корзине куча вирусов валяется.
AVZ был самый свежий.

ЦитироватьГм я жу вам уже гворил бырышня TAsklist и Taskill
[snapback]1811[/snapback]
tasklist не один из процессов не показал. Так что там убивать было некого.
Название: Спай в ИЕ
Отправлено: abram4 от 03 октября, 2005, 20:38:08
Этот троян называется Win32.Lewor.d (http://www.aladdin.com/home/csrt/analysis.asp?virus_no=21117&cf=)
Название: Спай в ИЕ
Отправлено: -=\SeaWolF/=- от 08 октября, 2005, 03:33:51
abram4,
тама была друга его модификация, кстати она не всеми антивирями ловится - только при сканировании с эвристическим анализатором могут поймать а такм при этом остался тот же принцип действия

ЗЫ не знаю на сколько правда - но народ жаловался что после его удаления какми-то антивирям падала система... интересно как надо было ухитрится антивирусникам чтобы такое вытворить ( :idontno:
Название: Спай в ИЕ
Отправлено: XSunX от 09 октября, 2005, 04:35:56
По поводу модификации не помню, но именно на Lewor в Корзине ругался др.Вэб.
ЦитироватьЗЫ не знаю на сколько правда - но народ жаловался что после его удаления какми-то антивирям падала система...
Это был точно не др.Вэб  :D Он очень лояльно отнёсся к трояну и к системе
Только текст | Текст с изображениями