По поводу всей это беготни с masster-x и antipioner

A d u l t, с какого момента то?

A d u l t писал:

Сейчас почему-то слетела сессия с форумом. Либо Sortunity что-то ковыряет в форуме, либо пионер пытается от меня постить. Так что ахтунг. Относитесь поаккуратнее к моим постам. Или просто паранойя...

спокойно. разлогинил я, посмотреть: ты ли это.

VESTAL писал:

Запускаю Process Explorer-ищу фразы wsp1 wsp2 winup A37, на поиск A37 он мне выдаёт-процесс services.exe, тип- handle, handle or DLL-\BaseNamedObjects\SvcctrlStartEvent_A3752DX Это оно? И что с ним делать?

+1 То же самое мне выдал. Процесс wuauclt.exe

Добавлено: Вру... процесс - services.exe

Последний раз редактировалось: SmoG (10/10/06 в 16:33), всего редактировалось 1 раз

VESTAL писал:

После запуска и перезагрузки .reg смотрю реестр-ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy -удаляю

Забыл добавить - данная ветка обязательно будет, если был запущен cure.reg - так как если комп не инфицирован, то вышеобозначенная ветка реестра создается.

VESTAL писал:

Запускаю Process Explorer-ищу фразы wsp1 wsp2 winup A37, на поиск A37 он мне выдаёт-процесс services.exe, тип- handle, handle or DLL-\BaseNamedObjects\SvcctrlStartEvent_A3752DX Это оно? И что с ним делать?

Это нормально
\BaseNamedObjects\SvcctrlStartEvent_A3752DX существует в services.exe на нормальных машинах.
Было бы ненормально, если бы что-то было найдено в процессе winlogon.exe

SmoG писал:

+1 То же самое мне выдал. Процесс wuauclt.exe

точно высветилось это имя другим цветом, я запомнила, минуту спустя его уже нет, не вижу сейчас.
А вообще всё это дело действительно winlogon.exe-services.exe-wuauclt.exe

Последний раз редактировалось: VESTAL (10/10/06 в 16:36), всего редактировалось 1 раз

SmoG писал:

+1 То же самое мне выдал. Процесс wuauclt.exe Добавлено: Вру... процесс - services.exe

В нашем случае опасный event - это SessionUpdateDoneEventA3752DX
SvcctrlStartEvent_A3752DX в services.exe неопасен.
Просто как-то глюкаво работает поиск по длинным строкам в Process Explorer. Поэтому я сказал искать короткую строку A37

Ну значит всё чисто, больше ничего нет:-)
А вообще сам по себе антипионер вреден или нет, может я не успела ничего подхватить до него?
просто меня очень смущает найденный вчера wsp2update(2).* и особенно цифра 2 в имени, типа где то есть 1, но найти я его не могу

Последний раз редактировалось: VESTAL (10/10/06 в 16:42), всего редактировалось 1 раз

VESTAL писал:

А вообще всё это дело действительно winlogon.exe-services.exe-wuauclt.exe

wuauclt.exe - это сервис Windows Update, который проверяет новые обновления на узле, и если они есть, выкачивает их. Этот процесс периодически то появляется в системе, то исчезает. Иногда может постоянно висеть. Иногда под этот процесс маскируются вирусы, но к нашей проблеме отношения не имеет. Наш загрузчик трояна работал как DLL, загружаемый процессом winlogon.exe

A d u l t писал:

В нашем случае опасный event - это SessionUpdateDoneEventA3752DX SvcctrlStartEvent_A3752DX в services.exe неопасен. Просто как-то глюкаво работает поиск по длинным строкам в Process Explorer. Поэтому я сказал искать короткую строку A37

Ну значит можно спать спокойно. Спасибо, Adult, успокоил параноика

VESTAL писал:

Ну значит всё чисто, больше ничего нет:-) А вообще сам по себе антипионер вреден или нет, может я не успела ничего подхватить до него?

Код антипионера был зашифрован EXEcypter'ом. В принципе мне удалось снять защиту, но на сколько полностью - я не уверен. С 90% вероятностью утверждаю, что антипионер делает следующее:
1. Кладет загрузчик трояна с модулем сокрытия в папку windows\system32.
2. Прописывает ключи реестра.
3. Врубает перезагрузку компьютера.

Может быть он делает еще что-то, но мне это найти не удалось.

Мое видение событий

Задача злоумышленника была установить на компьютеры жертв загрузчик ядра трояна с сайта, после чего в нужный момент выложить само вредоносное ядро на сайт для достижения некой цели. После того, как ключи реестра и вредоносные файлы были обнаружены, злоумышленник предпринимает вторую попытку - добавляет в загрузчик функцию сокрытия ключей реестра и вредоносных файлов.
Поскольку на некоторых пораженных машинах еще оставался загрузчик, который грузил пока еще несуществующее ядро, то злоумышленник с определенного момента выложил в качестве ядра новую версию загрузчика с функцией сокрытия. Это было сделано для того, чтобы сокрылись ключи реестра и файлы на инфицированных машинах тех, кто заходил на masster, но не запускал antipioner.
Скорее всего общей задачей злоумышленника было инфицировать определенную аудиторию сайта загрузчиком, после чего в определенный момент выложить на сайте вредоносное ядро, которое совершило бы определенные действия. В такой ситуации жертвам не удалось бы установить, какие вредоносные действия были произведены на компьютере.
Есть вероятность того, что злоумышленник сдался по причине блокирования домена updates-microsoft.com, откуда грузилось ядро трояна. Поскольку домен был заблокирован во второй половине дня в понедельник, а топик "пионерский привет" был создан во вторник в 00:20 по Москве. Тоесть через несколько часов после блокирования домена.

Вот ещё что- в хранилище Нода у меня вчера обнаружилось два новых вируса, по весу, один в один совпадающими с антипионером- этo DC25.exe - я вчера про него писала, что он самоудалился в карзину(причём антипионер был запущен 8 октября, а этот удалился спустя сутки-9 октября, и ещё кто-то писал что тоже нашёл такой), а также некий A0022120.exe (также тот же вес, что и у пионера) -он был в папке System Volume Information, в которую у меня почему то теперь нет доступа
Инфopмaция
AMON файл C:\System Volume Information\_restore{9B95298B-DA88-402B-8B93-27A7414678E7}\RP89\A0022120.exe
Пользователь- NT AUTHORITY\SYSTEM (я пользователь VESTAL-администратор) -Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe.
Пойман он был как то неожиданно, я вобще ничего не делала, вдруг появилось сообщение о вирусе
зы если нужно, могу их оба восстановить и выложить

VESTAL писал:

Вот ещё что- в хранилище Нода у меня вчера обнаружилось два новых вируса, ...

Размер виндовых EXEшников и DLL кратен 4096 байтам.
Так что размеры вполне могли совпасть.

И что это значит? Просто ещё кто то писал про этот DC25.exe (и всё это было вчера, то есть после запуска пионера, а не до)

потёрто

Последний раз редактировалось: VESTAL (10/10/06 в 19:59), всего редактировалось 1 раз

Эхх, ну и как создавать новый раздел? Там только key, string value, binary value и т.д.

A d u l t писал:

2 ваиранта: Либо експлоит некорректно отработал, либо установилась новая версия загрузчика, которая скрывается. Чтобы проверить, инфицирован ли комп, надо залезть в реестр в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ и посмотреть там раздел wscntfy Если установлена версия загрузчика трояна с модулем сокрытия, то в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ надо попытастся создать раздел wscntfy (Абсолютный путь раздела будет HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy). Если раздел создался - значит Вы не инфицированы, если при создании раздела вылезло сообщение от regedit о том, что такой раздел существует, однако вы его там не видите - это значит что Вы инфицированы загрузчиком трояна с модулем сокрытия.

A d u l t писал:

Это нормально \BaseNamedObjects\SvcctrlStartEvent_A3752DX существует в services.exe на нормальных машинах. Было бы ненормально, если бы что-то было найдено в процессе winlogon.exe

так что всё нормуль, без паники!:-)))

moniker4 писал:

Эхх, ну и как создавать новый раздел? Там только key, string value, binary value и т.д.

Слева на разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
нажимаем правой кнопкой и выбираем Создать->Раздел

У меня аглицкая винда. Нет там "раздел".

A d u l t писал:

Слева на разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ нажимаем правой кнопкой и выбираем Создать->Раздел

moniker4 писал:

У меня аглицкая винда. Нет там "раздел".

тогда самый первый элемент в появившемся контекстном меню

Ну создал Файлов которые ты упоминал в system32 не нашел. Письмо от массссстера открывал, на линк ходил, антипионера не запускал. Есть Агнитум Аутпост файрвол. Все connections филтьруются правилами. Ишаку разрешены только хттп и хттпс connections. Может это помогло незнаю.

Но вообще у меня сейчас параноя пиздец. Боюсь залогиниться в любой свой акк где-либо. Не могу работать. Просто **************.

До сих пор не дано достоверного способа:

1) Определения наличия трояна
2) Его удаления

Только какие то догадки. Заебался ждать уже когда кто то расставит все на свои места с технической точки зрения.

A d u l t писал:

тогда самый первый элемент в появившемся контекстном меню

moniker4 писал:

До сих пор не дано достоверного способа: 1) Определения наличия трояна 2) Его удаления

1. На этой странице чуть выше способ определения с помощью Process Explorer'а
2. Процесс удаленияс помощью cure.reg на предыдущей странице.

Process Explorer тоже дряни не показал. Просто из твоих слов, я понимаю что ты не совсем уверен в своих рецептах. Но, все равно спасибо.

A d u l t писал:

1. На этой странице чуть выше способ определения с помощью Process Explorer'а 2. Процесс удаленияс помощью cure.reg на предыдущей странице.

moniker4, Что значит "до сих пор не дано"? Тебе никто ничего не должен. Если тебя волнует вопрос трояна, просто сформати диск, и переставь винду. Вот самый простой и совершенно безотказный способ. Потом поменяй пароли и спи спокойно.

moniker4 писал:

Process Explorer тоже дряни не показал. Просто из твоих слов, я понимаю что ты не совсем уверен в своих рецептах. Но, все равно спасибо.

Вот тебе пример - ты подцепил троян, после чего прошелся по диску Нортоном, Каспером и НОДом. Кто-то из них что-то там нашел и удалил. Ты после этого уверен, что троян у тебя вычистился? Полностью я буду уверен, что троянов у тебя нет только после того, как ты мне принесешь свой системник и я его проверю.