Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   Что за червяк? (https://forum.antichat.xyz/showthread.php?t=108770)

travakur 02.03.2009 12:49
Что за червяк?
 
Avira несколько раз в день находит троянов: WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EVUXS7QD\retodozz[1].exe , retodozz[2].exe и в WINDOWS\Temp\rdl35.tmp. Пишет "Is the TR/Crypt.XDR.Gen Troyan". Этот червяк менял реестр, так, что нельзя было включить отображение скрытых папок - я поправил реестр, зашёл - там, кроме retodozz[2].exe файл index.dat - открыл блокнотом - заголовок Client UrlCache MMF Ver 5.2, далее имена 4х папок: KDEN8BYD, EVUXS7QD, SPQJCXMF, KTQZ49YB, в кот. и помещались retodozz'ы и адрес http://ohee.ru/retodozz.exe, откуда они и качались. Удаляю, Unlocker пишет заблокировано процессом svchost, убил процесс - пишет "аварийная перезагрузка через 30 сек, убили службу DCOM". Отключил службу, снёс папку Content.IE5 (кстати, у меня стоит IE6 :D )ща вроде всё норм, посмотрим...

travakur 02.03.2009 13:04
набери http://ohee.ru/retodozz.exe

MaZaHaKer 02.03.2009 13:07
пройдись утилитой AVZ и почисть временные файлы вручную

или обратись сюда : http://virusinfo.info/forumdisplay.php?f=46
выполнив эти правила : http://virusinfo.info/showthread.php?t=1235

PS : это Trojan-Clicker по Kасперскому.

travakur 02.03.2009 13:29
MaZaHaKer, Кстати, мож из-за него у меня не открывается твои ссылки http://virusinfo.info/forumdisplay.php?f=46, описания вирусов типа http://www.avira.com/en/threats/section/details/id_vir/3525/index.html (через перевод гугла открывается), не обновляется Avira (ставил Нод32, АВГ, Аутпост - не обновляются )????

travakur 02.03.2009 13:42
Цитата:
Сообщение от neversmile
Salita может?
тут про нее десятки тем было
по запросу Salita поиск находит тока эту тему....

swt1 02.03.2009 14:00
собсна вот
Цитата:
Malware name Trojan.Crypt.XDR.Gen
Type Trojan
Affected platform Win32
Media-Type application/executable
MD5 checksum 4E0F29C062AF92C9E1AF19D4635BDB34
Static file yes
Filesize 158,720 Bytes
Alias names
(also known as) Sophos Troj/Agent-BUC
McAfee Generic.di
CA ETrust Win32/Pipown!generic

Protection Webwasher Anti Malware 6036.49.x

Side effects Drops a file
Drops malicious files
Registry modification
Propagation No own spreading routine




Description:

Files

копирует себя в слудещие папки
• %SYSDIR%\ISASS.exe
• %WINDIR%\Resources\Empty.bat
• %WINDIR%\Media\msconfig.bat
• %WINDIR%\security\kernel32.bat
• %WINDIR%\system32.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Temp.pif
• %SYSDIR%\LNETINFO.exe
• %home%\My Documents\Data %computer name%.exe
• %SYSDIR%\Kiamat.exe
• %home%\My Documents\%all subdirectories%\%current directory%.exe



создаёт файлы

– %WINDIR%\security\ms.inf
Registry

добавляет себя в реестр-

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "msconfig"="%WINDIR%\Media\msconfig.bat"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Kiamat Sudah Dekat_16_04"="%SYSDIR%\ISASS.exe"



The following registry key is added:

– HKCU\Software\Policies\Microsoft\CurrentVersion\Po licies\Explorer
• "NoFind"=dword:00000001



следущие ключи реестра после изменения

Disable Regedit and Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
New value:
• "DisableRegistryTools"=dword:00000001
• "DisableTaskMgr"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Old value:
• "Hidden"=%user defined settings%
• "HideFileExt"=%user defined settings%
New value:
• "Hidden"=dword:00000002
• "HideFileExt"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Old value:
• "Shell"="Explorer.exe"
New value:
• "Shell"="Explorer.exe "%WINDIR%\Resources\Empty.bat""

– HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
New value:
• "DisableCMD"=dword:00000001

travakur 02.03.2009 14:05
neversmile, не похоже на Sality

travakur 02.03.2009 14:13
swt1, Trojan.Crypt.XDR.Gen retodozz.exe, закачанный с http://ohee.ru/retodozz.exe - это следствие, а причина?

и описанные тобой ключи реестра не изменены

travakur 02.03.2009 18:36
Опять появился retodozz.exe!!!
В новом месте: Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CR63IBOV
Чё с ним делать???
так-же присутствует файл index.dat по томуже пути и второй здесь Documents and Settings\NetworkService\Local Settings\History\History.IE5

Pernat1y 02.03.2009 19:05
Цитата:
Сообщение от travakur
набери http://ohee.ru/retodozz.exe
каспер утверждает, что это
Код:
Trojan-Clicker.Win32.Delf.cat
вообще пробуй КурИтом из сэйф мода под админом выковыривать

0nThaR 02.03.2009 19:14
Это Conficker он же Kido. Симптомы похожи.
Качаем заплатку http://fs1.altnet/Install/OS/WindowsXP-KB958687-x86-RUS.exe
а потом по этой или этой инструкции, не сочтите за рекламу.

travakur 03.03.2009 01:39
Цитата:
Сообщение от 0nThaR
Это Conficker он же Kido. Симптомы похожи.
Качаем заплатку http://fs1.altnet/Install/OS/WindowsXP-KB958687-x86-RUS.exe
а потом по этой или этой инструкции, не сочтите за рекламу.
кидокиллер нашел зараженный длл! спасибо, держи в репу! :)

http://virusinfo.info и http://data2.kaspersky-labs.com стали открываться, но авира всё равно не обновляется :confused:

0nThaR 03.03.2009 06:19
Цитата:
Сообщение от travakur
авира всё равно не обновляется :confused:
может проблема в ней самой..лицензия, или их серв в дауне..

Кстати, загляни в hosts (C:\Windows\system32\drivers), может ограничение там стоит.

travakur 03.03.2009 13:29
проблему с авирой решил: включил Опера Тор, написал в настройках авиры прокси локалхост, порт 8118, обновляется, т.е. дело не в ней.
0nThaR, а где конкретно может стоять ограничение в hosts, как найти?
ЗЫ:Сам думаю, мож какой в реестре ключ?

0nThaR 03.03.2009 14:31
Цитата:
Сообщение от travakur
0nThaR, а где конкретно может стоять ограничение в hosts, как найти?
Если ты там ничего не менял, то он должен выглядить подобным образом:
Цитата:
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
Тобишь, там не должны фигурировать адреса страниц, на которые тебя не пускает без прокси.

travakur 03.03.2009 14:47
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

travakur 04.03.2009 23:58
Всем спасибо за ответы, тема закрыта, т.к. система переустановлена


Время: 16:54