Хитрый троян)

dimik1 · 13.11.2009

Хитрый троян)))

Всем доброго! Ситуёвина: вирусом побита машина. После прогона Каспером очищено, но.... К процессу explorer.exe цепляется хрень, маскирующаяся по Реалтек азалиа саунд драйвер с вызовом из c:\rececler.....бла бла бла...ехе

. После запуска машины с подключенным тырнетом каспер орёт на файл из временной папки, и так до бесконечности. При отключенном тырнете всё тихо до подключения. При подключении тырнета моментом начинается загрузка тела с айпи, которое каспер успешно блокирует. Убивание ссылок в реестре эффекта не даёт, так как при загрузке появляется вновь. Решено частично было альтернативной загрузкой и физическим убиением тела коня

Хвосты: в реестре остались неубиенные сцылы на автозапуск несуществующего тела, в остальном работает. Вопрос: (мож кто сталкивался?) из какого "левого" драйвера происходит вызов "коня"? Гугл на тему имён файлов результатов не дал, да и Каспер честно признался, что детектировал он его 10.11.2009, а добавил в базу 12.11.2009, описания, эссэссно, нел

Флуд, мысли "куда копать - чем смотреть" приветствуются, свежие мысли типа "переустнави венду, каспер гавно и линух рулед" - нет. :пиво:

ПЫСЫ: Восстановление системы отключенно, да и понту - так как вызов из драйвера.

0xygen · 13.11.2009

...
завалить все возможные дрова, пройтись драйверклинерами?

Хранитель_ · 13.11.2009

Также попробуй поискать левые .vbs скрипты, возможно они создают части тел коня и лезут в тырнет на докачку зверя.

0xygen · 13.11.2009

а вообще тяжело так на расстоянии шото придумывать. надо видеть пациента

_Sir_ · 13.11.2009

AVZ: Сервис->Менеджер расширений проводника.

Хранитель_ · 13.11.2009

0xygen сказав(ла):
а вообще тяжело так на расстоянии шото придумывать. надо видеть пациента

Едем к Димику на пиво?

Стоп. Дим, пошарся в папках System Volume Information, некоторые вирусяки на подобии дельфина любят там сидеть, особенно на диске d.

RomeoMe · 13.11.2009

я б еще в службы заглянул на предмет "Реалтек азалиа саунд драйвер"

dimik1 · 13.11.2009

2 окси - в списке драйверов "левые" убиты - безрезультатно, возможно пропустил что-то. драйверклинера подскажешь?+1
2 Хранитель +1 - была пидозра, но забыл список "правых" - подскажешь?
2 Сё, спасибо, но к АВЗ стрёмно отношусь - попробую пока так разобраться.
2 олл - пиво, не вопрос, все участнеги в курсе - за мной не заржевеет. Но пока тупо не хватает времени. Как станет полегче - всех позову!
2 Ромео, не только в службах, но и в списке установленных драйверов его нет.
ПЫСЫ: Сё - ссорь, в репу не лезет(((

Хранитель_ · 13.11.2009

dimik1 сказав(ла):
2 Хранитель +1 - была пидозра, но забыл список "правых" - подскажешь?

"Правых" всех не подскажу, надо открывать каждый и смотреть код. Либо можно подождать пока(хз когда) я загоню на виртуалку чистую винду и скину тебе весь список.

dimik1 · 13.11.2009

Хранитель_ сказав(ла):
"Правых" всех не подскажу, надо открывать каждый и смотреть код. Либо можно подождать пока(хз когда) я загоню на виртуалку чистую винду и скину тебе весь список.

Данунах! Не стоит крови - сам разберусь. По умолчанию, по-моему 2 в систем 32.

Хранитель_ · 13.11.2009

dimik1 сказав(ла):
Данунах! Не стоит крови - сам разберусь. По умолчанию, по-моему 2 в систем 32.

В любо случае надор код просматривать, может вирусяка еще куданить лезет.))

dimik1 · 13.11.2009

Хранитель_ сказав(ла):
Стоп. Дим, пошарся в папках System Volume Information, некоторые вирусяки на подобии дельфина любят там сидеть, особенно на диске d.

Ты пропустил - "восстановление системы отключенно" - соответственно, папки пусты. Кста, там обычно не вируса, а а их резервные копии

ПЫСЫ: Эт у меня просто смутные сомнения, т.к формально враг убит, а из хвостов остались две самовостанавливающиеся ссылки в реестре, ну и в рот им ноги...

Хранитель_ · 13.11.2009

dimik1 сказав(ла):
Ты пропустил - "восстановление системы отключенно" - соответственно, папки пусты. Кста, там обычно не вируса, а а их резервные копии
ПЫСЫ: Эт у меня просто смутные сомнения, т.к формально враг убит, а из хвостов остались две самовостанавливающиеся ссылки в реестре, ну и в рот им ноги...

Ну хз у предков на пк востановление системы отключено, а сейчас сканию пк куриетом и в этих самых папках куча хрени.

0xygen · 13.11.2009

dimik1 сказав(ла):
2 окси - в списке драйверов "левые" убиты - безрезультатно, возможно пропустил что-то. драйверклинера подскажешь?+1

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

или что то около того.
я имел ввиду убить не левые дрова, а все возможные, после удаления которых заведется система.

dimik1 сказав(ла):
ПЫСЫ: Эт у меня просто смутные сомнения, т.к формально враг убит, а из хвостов остались две самовостанавливающиеся ссылки в реестре, ну и в рот им ноги...

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

чем нить типа этого?

брать

Тільки зареєстровані користувачі бачать весь контент у цьому розділі

diesel · 13.11.2009

_Sir_ сказав(ла):
AVZ: Сервис->Менеджер расширений проводника.

Так же не помешает AVZ Отключеие системных отладчиков.
Ну и делать это все крайне желательно из-под ливсиди. Если эта хрень поднимается как доайвер то она способна спокойно скрывать поднятые вирем процессы и файлы.

dimik1 · 14.11.2009

2 окси - не, ну не настолько просто. Я думал знаешь софтину, которая умеет сканить систему и проверять валидность драйверов и вызовов...
2 дизель - отож. На сегодняшний день если вредоносный процесс поднимается как вызов из 16-ти битного драйвера, то реальных способов борьбы я не знаю(кроме формат С:\). Да и отследить проблематично. Ливсиди вообще не при делах в таких случаях, так как драйвер сам по себе вполне чистый, а вот вызовы из него 32 бита....И только их можно поймать и отследить вектор. Блин,надо будет на этот ваш AVZ повнимательней посмотреть...

0xygen · 14.11.2009

dimik1 сказав(ла):
2 окси - не, ну не настолько просто. Я думал знаешь софтину, которая умеет сканить систему и проверять валидность драйверов и вызовов...

а такие существуют?

dimik1 · 14.11.2009

да хз - но под драйверклинером я понимал именно это.....
ПЫСЫ: Дизелю тож в репу не лезет

Хранитель_ сказав(ла):
Ну хз у предков на пк востановление системы отключено, а сейчас сканию пк куриетом и в этих самых папках куча хрени.

...имхо, знач когда-то было включено

Хранитель_ · 14.11.2009

dimik1 сказав(ла):
да хз - но под драйверклинером я понимал именно это.....
ПЫСЫ: Дизелю тож в репу не лезет

...имхо, знач когда-то было включено

Пк предков, последний раз винду ставил не я так шо все может быть.

Khrom · 16.11.2009

Симптомы знакомы... Была такая фигня на хр 2 сервис паке... фигня сидит в автозапуске, причем как флешек, так и дисков, убивал дрвэбом, в частности курейтом, но дырки в системе залепить не удалось, пришлось переустанавливать, чтобы пользоваться автозапуском без проблем.... Еще момент, перед переустановкой обязательно все почистить, а иначе будет пизд...на опять.. Особое внимание следует обратить на то, удаляет ли курейт файл или переносит в карантин, если последнее, то сканить папку карантина и удалять....