Сразу после подключения к инету венда что-то скачивает. Потом антивирь говорит, что файло Vci05.sys is a trojan downloader. На что говорим "прибить". Прибивает. Потом запускается SVCHOST.EXE, стандартный, виндовозный. Без параметров. Новых служб не добавляется. И вот этот svchost.exe, сцукко, создаёт подключение на порт 1907 некоего хоста в инете. И начинает лезть на 25 всяких мыльных серваков...
Имя Локальный адрес Внешний адрес Состояние PID
TCP x.x.x.x:1051 208.72.169.244:1907 ESTABLISHED 3016
TCP x.x.x.x:1054 194.67.23.20:25 ESTABLISHED 0
TCP x.x.x.x:1055 72.14.215.27:25 TIME_WAIT 0
TCP x.x.x.x:1056 64.233.183.27:25 TIME_WAIT 0
TCP x.x.x.x:1062 216.157.145.27:25 TIME_WAIT 0
После прибития svchost.exe с PID по первому соединению вирусная активность прекращается. До ледующей перезагрузки.
Похоже, что-то сидит в ядре. Никто с таким не сталкивался?
Антивири даже при полном сканировании винта ничего плохого не говорят.
Заранее всем спасибо за советы.
Где лежит этот свцхвост? Правильный должен лежать в систем32. Также загрузись с ердкоммандера и запусти (с флехи) авторанс руссиновича. Похоже что то висит или в сервисах или нетлогоне.09.04.08 11:56 Автор: Garick <Yuriy> Статус: Elderman
Также пройдись нодом со свежими базами с флехи (туда можно скопировать папку нода с чистого компа)
Свцхвост виндовозный, подписанный. Этот вирь запускает его как зомби для своих чёрных действий :) Ещё про этого виря:09.04.08 13:28 Автор: HandleX <Александр М.> Статус: The Elderman
Основные признаки:
1) как уже сказал, создаётся svchost.exe, который лезет на 25 порты крупных мыловарен;
2) Постоянно мониторится значение ключа реестра HKLMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, значение там такое: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, если убрать строку с ntos.exe, оно тут же появляется снова, причём файла этого в юзер моде не видно. Перехват апишных функций в ядре?
3) После подключения в инет антивирь может задетектить файл со случайным именем с расширением .sys
Был у меня такой вир. Там еще ИЕ в "качелях" - стартует один, затем запускает второй. Второй выгружает первый и запускает третий. Цепочку разорвал только загруз с ЕРД (или аналог) и переименовав (временно) исполняемый файл ИЕ. stfw ntos - много результ :)09.04.08 14:00 Автор: Garick <Yuriy> Статус: Elderman
А про ntos.exe я читал, там в советах рекомендуют изменить значение ключа, добавив что-нить к пути в этой строке, но это видимо новая модификация, если не находит "свой" путь, просто его ещё раз дописывает в конец, и совет с дописыванием не помог.
ntos.exe разные бывают... Лично мне на юзверьских машинах три встречалось.09.04.08 22:44 Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 09.04.08 22:47 Количество правок: 1
Помогает профилактика - заставить работать пользователей максимум с правами "Опытные пользователи" и закрыть им возможность записи в ветки реестра HK__\Software\Microsoft\Windows\CurrentVersion\Run
и тому подобных.
+хороший антивирь.
Лечение:
Обычно легко лечаться ручками, если запускаются с ограниченными правами (User, Power Users). При этом, редактор реестра нужно запускать через run as с правами администратора. Затем ставиться запрет записи для Users, Power Users на ключ реестра, в котором вирь прописывает себя для запуска и спокойненько вычищается.
Я всё-таки вытащил эту гадость на свет, и убил её -))11.04.08 08:05 Автор: HandleX <Александр М.> Статус: The Elderman
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Восстановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe.
Дрвеб с последними обновлениями его не видит.
Слава Руссиновичу с его ProcessExplorer'om! -))
Ща отошлю эту мерзость вирусологам.
Слышал, что 7 апреля вышла какая-то модификация троян-даунлоадера. Так что свежее обновление может помочь.09.04.08 09:38 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 09.04.08 18:45 Количество правок: 2
Точно это какой-то модифицированый.
На той такчке (в моем парке :-) похоже что-то подобное было. Я не стал так долго мучится - проклонировал с соседней тачки системный раздел, завел юзера, восстановил ему в зад "рабочий стол" и "мои документы". Тачки были почти одинаковые, но винда сразу не стартанула. Ничего, благо в сэйфмоде загрузилась, поменял драйвер ИДЕконтроллера на стандартный, дальше все как по маслу, саму машину еще переименовал в ее оригинальное (старое) имя. ГХОСТ еще глючил - не хотел на этот раздел клонировать, благо посекторная копия прошла (разделы были абсолютно одинаковые). Из-за этого больше получаса убил. Жаль в винде нельзя безболезненно проги вынести на отдельный раздел, при перестановки винды все равно переинсталять придется. А то было бы еще легче.
Нефиг работать под аккаунтом Администратора!08.04.08 19:09 [HandleX, Heller, Den] Автор: Den <Денис Т.> Статус: The Elderman
Это ты разработчикам сред программирования скажи...10.04.08 04:56 Автор: Zef <Alloo Zef> Статус: Elderman Отредактировано 10.04.08 04:59 Количество правок: 1
У меня Симатик иначе, как под ЛокалАдмином работать не желает, и, похоже, через это я че-то похожее уже словил... Причем, он, падла, ставит злодырявый IIS и как-то по-своему изжеванный Мелкомягкий SQL, юзает RPC и без них жить не может! Вот и объясните, как со всем этим букетом жить с
в Тырнете?
run as?10.04.08 08:26 Автор: Den <Денис Т.> Статус: The Elderman
> У меня Симатик иначе, как под ЛокалАдмином работать не > желает, и, похоже, через это я че-то похожее уже словил...
Что именно из Symantec?
> Причем, он, падла, ставит злодырявый IIS и как-то по-своему > изжеванный Мелкомягкий SQL, юзает RPC и без них жить не > может! Вот и объясните, как со всем этим букетом жить с > в Тырнете?
Естественно, проги надо ставить под админом и желательно запускать установку через "run as..."
Чтобы разобраться надо время, а его нет - надо программировать и соправождать то, что уже написано.11.04.08 05:21 Автор: Zef <Alloo Zef> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
