Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | |
Я всё-таки вытащил эту гадость на свет, и убил её -)) 11.04.08 08:05 Число просмотров: 1988
Автор: HandleX <Александр М.> Статус: The Elderman
|
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Восстановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe.
Дрвеб с последними обновлениями его не видит.
Слава Руссиновичу с его ProcessExplorer'om! -))
Ща отошлю эту мерзость вирусологам.
|
<sysadmin>
|
Мой компутер рассылает спам... @#$!!! Дожился -)))) 08.04.08 18:06
Автор: HandleX <Александр М.> Статус: The Elderman
|
Сразу после подключения к инету венда что-то скачивает. Потом антивирь говорит, что файло Vci05.sys is a trojan downloader. На что говорим "прибить". Прибивает. Потом запускается SVCHOST.EXE, стандартный, виндовозный. Без параметров. Новых служб не добавляется. И вот этот svchost.exe, сцукко, создаёт подключение на порт 1907 некоего хоста в инете. И начинает лезть на 25 всяких мыльных серваков...
Имя Локальный адрес Внешний адрес Состояние PID
TCP x.x.x.x:1051 208.72.169.244:1907 ESTABLISHED 3016
TCP x.x.x.x:1054 194.67.23.20:25 ESTABLISHED 0
TCP x.x.x.x:1055 72.14.215.27:25 TIME_WAIT 0
TCP x.x.x.x:1056 64.233.183.27:25 TIME_WAIT 0
TCP x.x.x.x:1062 216.157.145.27:25 TIME_WAIT 0
После прибития svchost.exe с PID по первому соединению вирусная активность прекращается. До ледующей перезагрузки.
Похоже, что-то сидит в ядре. Никто с таким не сталкивался?
Антивири даже при полном сканировании винта ничего плохого не говорят.
Заранее всем спасибо за советы.
|
|
Где лежит этот свцхвост? Правильный должен лежать в систем32. Также загрузись с ердкоммандера и запусти (с флехи) авторанс руссиновича. Похоже что то висит или в сервисах или нетлогоне. 09.04.08 11:56
Автор: Garick <Yuriy> Статус: Elderman
|
Также пройдись нодом со свежими базами с флехи (туда можно скопировать папку нода с чистого компа)
|
| |
Свцхвост виндовозный, подписанный. Этот вирь запускает его как зомби для своих чёрных действий :) Ещё про этого виря: 09.04.08 13:28
Автор: HandleX <Александр М.> Статус: The Elderman
|
Основные признаки:
1) как уже сказал, создаётся svchost.exe, который лезет на 25 порты крупных мыловарен;
2) Постоянно мониторится значение ключа реестра HKLMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, значение там такое: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, если убрать строку с ntos.exe, оно тут же появляется снова, причём файла этого в юзер моде не видно. Перехват апишных функций в ядре?
3) После подключения в инет антивирь может задетектить файл со случайным именем с расширением .sys
|
| | |
Был у меня такой вир. Там еще ИЕ в "качелях" - стартует один, затем запускает второй. Второй выгружает первый и запускает третий. Цепочку разорвал только загруз с ЕРД (или аналог) и переименовав (временно) исполняемый файл ИЕ. stfw ntos - много результ :) 09.04.08 14:00
Автор: Garick <Yuriy> Статус: Elderman
|
Причем запуск вира идет, вроде, сервисом.
Грузись с альтенативного диска с ВИН РЕ и чисть реестр. И Др вебом, если он умеет сканить без инсталяции.
|
| | | |
О да, там целый зоопарк их был, всё вычистил... Остался последний -)) 09.04.08 15:10
Автор: HandleX <Александр М.> Статус: The Elderman
|
А про ntos.exe я читал, там в советах рекомендуют изменить значение ключа, добавив что-нить к пути в этой строке, но это видимо новая модификация, если не находит "свой" путь, просто его ещё раз дописывает в конец, и совет с дописыванием не помог.
|
| | | | |
ntos.exe разные бывают... Лично мне на юзверьских машинах три встречалось. 09.04.08 22:44
Автор: Den <Denis> Статус: The Elderman Отредактировано 09.04.08 22:47 Количество правок: 1
|
Помогает профилактика - заставить работать пользователей максимум с правами "Опытные пользователи" и закрыть им возможность записи в ветки реестра HK__\Software\Microsoft\Windows\CurrentVersion\Run
и тому подобных.
+хороший антивирь.
Лечение:
Обычно легко лечаться ручками, если запускаются с ограниченными правами (User, Power Users). При этом, редактор реестра нужно запускать через run as с правами администратора. Затем ставиться запрет записи для Users, Power Users на ключ реестра, в котором вирь прописывает себя для запуска и спокойненько вычищается.
|
| | | | | |
Я всё-таки вытащил эту гадость на свет, и убил её -)) 11.04.08 08:05
Автор: HandleX <Александр М.> Статус: The Elderman
|
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Восстановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe.
Дрвеб с последними обновлениями его не видит.
Слава Руссиновичу с его ProcessExplorer'om! -))
Ща отошлю эту мерзость вирусологам.
|
|
Слышал, что 7 апреля вышла какая-то модификация троян-даунлоадера. Так что свежее обновление может помочь. 09.04.08 09:38
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 09.04.08 18:45 Количество правок: 2
|
Точно это какой-то модифицированый.
На той такчке (в моем парке :-) похоже что-то подобное было. Я не стал так долго мучится - проклонировал с соседней тачки системный раздел, завел юзера, восстановил ему в зад "рабочий стол" и "мои документы". Тачки были почти одинаковые, но винда сразу не стартанула. Ничего, благо в сэйфмоде загрузилась, поменял драйвер ИДЕконтроллера на стандартный, дальше все как по маслу, саму машину еще переименовал в ее оригинальное (старое) имя. ГХОСТ еще глючил - не хотел на этот раздел клонировать, благо посекторная копия прошла (разделы были абсолютно одинаковые). Из-за этого больше получаса убил. Жаль в винде нельзя безболезненно проги вынести на отдельный раздел, при перестановки винды все равно переинсталять придется. А то было бы еще легче.
|
|
Нефиг работать под аккаунтом Администратора! 08.04.08 19:09 [HandleX, Heller, Den]
Автор: Den <Denis> Статус: The Elderman
|
|
| |
Это ты разработчикам сред программирования скажи... 10.04.08 04:56
Автор: Zef <Alloo Zef> Статус: Elderman Отредактировано 10.04.08 04:59 Количество правок: 1
|
У меня Симатик иначе, как под ЛокалАдмином работать не желает, и, похоже, через это я че-то похожее уже словил... Причем, он, падла, ставит злодырявый IIS и как-то по-своему изжеванный Мелкомягкий SQL, юзает RPC и без них жить не может! Вот и объясните, как со всем этим букетом жить с
в Тырнете?
|
| | |
run as? 10.04.08 08:26
Автор: Den <Denis> Статус: The Elderman
|
> У меня Симатик иначе, как под ЛокалАдмином работать не > желает, и, похоже, через это я че-то похожее уже словил...
Что именно из Symantec?
> Причем, он, падла, ставит злодырявый IIS и как-то по-своему > изжеванный Мелкомягкий SQL, юзает RPC и без них жить не > может! Вот и объясните, как со всем этим букетом жить с > в Тырнете?
Естественно, проги надо ставить под админом и желательно запускать установку через "run as..."
|
| | | |
Чтобы разобраться надо время, а его нет - надо программировать и соправождать то, что уже написано. 11.04.08 05:21
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
|
|