Конференция VBStreets

[Андрей Дыминский]

Дайте совет, как избавится от трояна, потому что он меня уже достал.
Я его уже и вручную удалял, и антивирусами Dr.Web, NOD32 -
все равно стоит мне залесть в интернет, как он снова появляется
в папке временных файлов. Вот инфа, корую выдает NOD32, когда его ловит.
файл: C:\WINDOWS\Temp\startdrv.exe
Вирус: Win32/Rootkit.Agent.EY троян
Комментарий: Файл может быть удален. Рекомендуется сделать
копии любых критических данных перед продолжением. Событие
при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.

[Antonariy]

Тебе нужна программа, сканирующая систему на наличие руткитов. Фпоиск по этому слову.

[alibek]

Да можно и слово сразу, HiJackThis.

[Matew]

Андрей Дыминский, создай папку C:\WINDOWS\Temp\startdrv.exe и будет тебе счастье в 90 % случаев.

[Antonariy]

Matew
Скорее в 9% или 0.9% Наверняка такой примитивный случай автором трояна предусмотрен.

[Андрей Дыминский]

На счет создания папки, попробовал не помогло. Стоит перезагрузится
как троян тут как тут. Просканировал программой
HiJackThis_v2, она выдал целый список, что из них Rootkit я не
знаю. Скачал AVG Anti-Rootkit Free и Антивирусную утилиту AVZ,
но когда начинаю сканировать, компьютер виснет и появляется
синий экран с предупреждением:
A problem has been detected and Windows has been shut down to prevent
damage to your computer. If this is the first time you've seen this
stop error screen, restart your computer. If this screen appears again,
follow these steps: Check to be sure you have adequate disk space. If
a driver is identified in the stop message, disable the driver or check
with the manufacturer for driver updates. Try changing video adapters.
Check with your hardware vendor for any BIOS updates. Disable BIOS memory
options such as caching or shadowing. If you need to use safe mode to
remove or disable components, restart your computer, press F8 to select
advanced startup options, and then select safe mode. Technical information:
*** STOP: 0x0000008E (0xC0000005,0xFB702640,0xF7B38B64,0x00000000)
*** Fastfat.sys - Addres FB702640 base at FB702000, DateStamp 41107eb7

[Antonariy]

Это все происходило в безопасном режиме?

[Андрей Дыминский]

Нет стандартный запуск Windows.
А вот список, который выдал после сканирования HiJackThis_v2.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:44:50, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Администратор\Рабочий стол\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: (no name) - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Заполнить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Настроить Меню - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Сохранить формы - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Тулбар RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Создание Избранного на мобильном устройстве - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Создать Избранное на мобильном устройстве... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Заполнить - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Заполнить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Сохранить - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Сохранить формы - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Тулбар RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 0565633552
O20 - AppInit_DLLs: ???Я идиот! Убейте меня, кто-нибудь!Я идиот! Убейте меня, кто-нибудь!?? c:\windows\system32\ldcore.dll
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[iGrok]

Кхм.. Вы о чем? Какой hijackthis, если на системе руткит????
Чего оно покажет???

В общем, в безопасном режиме делаешь сканирование при помощи AVZ.

Подробнее - сюда.
http://www.virusinfo.info/

[Андрей Дыминский]

Насчет HiJackThis писал раньше Alibek .

[jangle]

Фиксить вот это:

O20 - AppInit_DLLs: ???Я идиот! Убейте меня, кто-нибудь!Я идиот! Убейте меня, кто-нибудь!?? c:\windows\system32\ldcore.dll

[Андрей Дыминский]

В безопасном режиме просканировал антивирусной утилитой AVZ, она нашла и удалила трояна. Когда перезагрузил компьютер, троян опять появился.
jangle писал:"Фиксить вот это:
O20 - AppInit_DLLs: ???Я идиот! Убейте меня, кто-нибудь!Я идиот! Убейте меня, кто-нибудь!?? c:\windows\system32\ldcore.dll"

А как это делается?

[keks-n]

Ключ такой в реестре чистится.

[Андрей Дыминский]

А в какой ветке реестра он находится?

[keks-n]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

[Saturn.65]

Ну и пусть троян живет в системе. Главное перекрыть ему связь с "центром". Что он может без этой связи?

[Antonariy]

А в какой ветке реестра он находится?

В regedit'e есть поиск.

[Андрей Дыминский]

Удалил из реестра этот ключ, но не помогло.

Saturn.65 писал(а):
Ну и пусть троян живет в системе. Главное перекрыть ему связь с "центром". Что он может без этой связи?

А как ее перекрыть?

[Saturn.65]

А как ее перекрыть?

Троян вообще зачем создан? Чтоб передавать кое-какие твои данные своему хозяину или нагадить у тебя в системе. Ну там удалить чего и т.д. Троян состоит из двух файлов: клиент и сервер. Между ними для их работы должна быть связь по некому порту. Иначе теряется смысл трояна.Порты могут быть разными. Их всего 65 000. По какому порту происходит связь -известно хозяину и файрволу. Вот ставишь файрвол и он тебе сразу выдаст: такое то приложение пытается коннектится с таким то IP адресом. Разрешить связь или запретить? Ты только ставишь галочку, что считаешь нужным. Я это конечно общеизвестное рассказываю. Если что, пиши в личку. Дам хороший файрвол и еще кое-что.
И еще, если я не ошибаюсь, троян должен быть exe. Может я отстал от жизни, но раньше было так. Он ведь как-то запускается? Не может ли он в автозагрузке где заседать? А удалять ключи или папки-пустое дело. Он проверяет, если их нет, то он их создает заново. Может если только изменить значение ключа, а потом в разрешениях установить: только чтение. Я так делал. Он поглядит, ключ есть, а записать туда уже не сможет. Я не думаю, что он сможет создать параллельный ключ.
Кстати. Частенько бывает кака в svchost.exe. Не может ли какой из них? Самое интересное, что можно создать два разных файла с одинаковым названием ( с виду). Дело в том что в одном svchost.exe
может быть буква "o" написана на русской раскладке клавиатуры, а в другом файле -на английской. Вот тебе и системный файл под личиной трояна.

[Андрей Дыминский]

Насчет запуска трояна, это первое что пришло мне вголову- проверял автозагрузку, ветки ...\Run в HKLM и HKCU, также в разделах HKEY_CLASSES_ROOT\exefile\shell\open\command, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager в параметре BootExecute и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
проверял запускаемые службы, но везде все чисто.
Может ест еще места для запуска, которых я не знаю.

[Saturn.65]

Почитай тут.
http://bbs.vbstreets.ru/viewtopic.php?t=8701&highlight=&sid=f43877c6bee60d51b0e5b71eb70037de

[Андрей Дыминский]

Подскажите, какой антивирус реально справляется с Rootkits,
а то ведь в описании NOD32 тоже написано, что он находит и
удаляет их, а на деле он мне не помог.

[Saturn.65]

Хвалят HijackThis
http://www.softportal.com/freesoftware/3553/hijackthis
Описание
http://www.saule-spb.ru/articles/hijackthis.html

[Lumen]

Ещё Rootkit Unhooker можешь попробовать.

[Андрей Дыминский]

Вчера снес свой NOD32 и поставил Dr.Web 4.44, так он без сканирования,
с антивирусными базами 25-ти дневной давности- выловил этого трояна и
еще 4 виря. Думал все конец моим проблемам, но как оказалось нет. Хотел
просканировать компьютер, но он завис (на экране появилось сообщение:
A problem has been detected and Windows has been shut down to prevent
damage to your computer. If this is the first time you've seen this
stop error screen, restart your computer. If this screen appears again,
follow these steps: Check to be sure you have adequate disk space. If
a driver is identified in the stop message, disable the driver or check
with the manufacturer for driver updates. Try changing video adapters.
Check with your hardware vendor for any BIOS updates. Disable BIOS memory
options such as caching or shadowing. If you need to use safe mode to
remove or disable components, restart your computer, press F8 to select
advanced startup options, and then select safe mode.)
В безопасном режиме такая же фигн...я.
Подскажите как решить проблему.

[iGrok]

Либо ты не снес до конца NOD, и их драйвера поссорились,
Либо вирус сидел в каком-то из системных файлов..
Либо..
Либо...

Там есть STOP код. Вот его приведи, плз. Тогда хоть что-то можно будет сказать.

[Maitris]

Автор... воспользуйся полной версией Security Task Manager. Наиболее вероятно, что руткит загружает свой драйвер для маскировки и защиты нужных процессов. Первым делом выгружаешь драйвер, потом левые процессы, ну и последним делом проверяешь антивирусом/удаляешь вручную созданные файлы...
То же самое можно осуществить при помощи утилиты Руссиновича.

[Saturn.65]

Что интересно, у каждого антивируса свой алгоритм поиска. Один находит вирусы. Ставишь другой -он ничего не находит. Кому и верить? Читал Олега Калашникова:"Ассемблер-это просто". Пишет, что если написать вирус на ассемблере, то никакой антивирус не определит, пока в базы не попадет. Мне кажется, он прав.

[iGrok]

Хорошая эвристика - определит. Но хорошая эвристика сильно тормозит, поэтому в большинстве случаев отключена.

[Lumen]

Saturn.65
Кхм...
Я конечно Калашникова уважаю, сам его читал когда-то, но

если написать вирус на ассемблере, то никакой антивирус не определит

имхо это он загнул. Большинство вирусов и так пишутся на ассемблере. А определит ли антивирус заразу, зависит не от того на каком языке эта зараза написана, а как её защитили (закриптовали, замусорили код, и т.д.).