Вирус: downloader.istbar.4.ag

[bestman]

Здравейте!

Днес се "борих" с компа на един приятел- ХР сп1, AVP7.

Антивируса намира въпросната троянска гад и толкова.

След много опити и рестарти ситуацията е следната:

След включване в и-нет и старт на ИЕ се сваля "нещо" набързо(без никаква намеса), разархивира се, няколко дос прозореца(подозирам, че в тоя момент пише по регистрите)и в таскмениджъра се появява още един процес explorer.exe(!).

Намирам разархивираните файлове, изтривам ги(вкл c:\explorer.exe, всички са в с:\), намирам архива - изтривам го. И... тест с AVG - след секунди теста се изключва сам(!), regedit - резултата като при AVG(!). Рестарт, АВГ - ок, regedit(махам каквото съветват от форумите, които намерих).Проверяване по диска дали няма някъде нещо дори и бледо напомнящо гадта. Прекарване през ad-aware, spybot, systemmechanic(за регистрите и ненужни файлове). Включване на нета, ИЕ и.... хайде отначало[}] .

За сега съм оставил компа така т.е. до преди пускането на ИЕ със съвет да ползва само Opera( при нея не се появява(!?) ).

Всички процедури при изкл СистемРесторе, изтриване на кукита и всичко възможно от temporary Internet Files.



Дайте съвети какво да го правя!!!!!!!!!!

[FearMe]

провери за подозрителни скриптове в /system32 - има гадове, които започват от автоматично изпълняващ се скрипт при стартиране на ie

[ru-boy]

CWShredder.exe и Stinger.exe е възможното, но не и 100% сигурното решение на проблем, омръзна ми да го пиша, ама, като се налага.

----

за разни паразити

http://www.spywarewarrior.com/rogue_anti-spyware.htm

-----

... пробвай и On-Line Scaner

http://housecall.antivirus.com/housecall/start_corp.asp

-----

Много е важно в твоя случай да изтриеш и OffLine съдържанието на IE браузера, за по голяма хигиена.

http://www.mvps.org/winhelp2002/delcache.htm

---------

Ползвана информация

http://computercops.biz/postp299398.html

-------

И накрая, но не и по значение, щом обичаш да работиш с IE, трябва задължително да си монтираш програма, която пази браузера от бъдещи и настоящи паразити. Една удачна такава е WinPatrol

Доп. инфо за горната програма и за затвърждаване на английския.

http://computercops.biz/forum105.html

[bestman]

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">провери за подозрителни скриптове в /system32

<div align="right">Originally posted by FearMe*-*19/09/2004*:* 11:37:55</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Тук съм бос! Как да проверя?



ru-boy, както казах не е моя комп! Ползвам Опера, ТоталКомандер и куп други с цел избягване продуктите на MS, щото не ми харесват. Вин-а обаче няма как да избегна (нямам и идея от Linux!).

А програмките, които препоръчваш ще ги пробвам!

10х за линковете.

М/у другото част от процедурите, които приложих, ги видях във форума на computercops.

[FearMe]

ами това, с което аз съм се сблъсквал, беше visual basic script (разширение .vbs) в /system32, който сменяше homepage-a, отваряше pop-ups и т.н.

просто напиши тук имената на всички .vbs files и ще видим кой не отговаря на обичайно намиращите се в /system32

[bestman]

ОК! Само, че ще мога да го направя към 15:00 (тогава ще ходя да продължа "борбата").

[bestman]

Сега сядам на компа. И гадта се метна в него и с операта!!!



.vbs в /system32 са :eventquery.vbs, pagefileconfig.vbs, prncnfg.vbs, prndrvr.vbs, prnjobs.vbs, prnmngr.vbs, prnport.vbs, prnqctl.vbs, pubprn.vbs.

[Raid]

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Сега сядам на компа. И гадта се метна в него и с операта!!!



.vbs в /system32 са :eventquery.vbs, pagefileconfig.vbs, prncnfg.vbs, prndrvr.vbs, prnjobs.vbs, prnmngr.vbs, prnport.vbs, prnqctl.vbs, pubprn.vbs.



<div align="right">Originally posted by bestman*-*19/09/2004*:* 1617</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Тцък, всичките са легални скриптове...

[bestman]

Значи от нета се сваля vfftu.exe, с икона на ИЕ, разархивира се в с:/. Файловете са explorer.exe, hiderun.exe, swe.bat (съдържа:

@echo off



REGEDIT.EXE /s re11.REG

REGEDIT.EXE /s re12.REG



hiderun.exe explorer.exe





exit),



файл re11.reg

(Windows Registry Editor Version 5.00



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1004"=dword:00000000

"1201"=dword:00000000



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1004"=dword:00000000

"1201"=dword:00000000



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1004"=dword:00000000

"1201"=dword:00000000



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1004"=dword:00000000

"1201"=dword:00000000

"1406"=dword:00000000

"1A04"=dword:00000000



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]

"1004"=dword:00000000

"1201"=dword:00000000

"1001"=dword:00000000

"1200"=dword:00000000

"1400"=dword:00000000

"1606"=dword:00000000

"1607"=dword:00000000



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

"http"=dword:00000000 )



файл re12.reg

(Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSNMSGRS"="C:\\swe.bat")



Ако това може да ви ориентира....



SWShredder не даде резултат!!!

[Raid]

Добре де и все пак в кой файл AVG открива гадинката? Сигурен ли си, че триеш всичко от Temporary Internet Files? Да не би да не ти се показват на екран hidden файловете и да пропускаш някой .cab, съдържащ вируса?

[FearMe]

в крайна сметка ако не можеш да се оправиш, забрани във firewall-a изпълнението на vfftu.exe и си готов. (може по желание и hiderun.exe, но при положение, че той излиза от vfftu-то ще е просто презастраховка)

[bestman]

Сега се случи следното: дръпна се файла, разархивира се, появи се процес експлорер.ехе, спрях го, постнах, изтрих файловете, пуснах антивирусната и... не намира вирус!

Не знам кога се активира гадта.

[bestman]

В момента сканирам с HouseCall (http://housecall.antivirus.com/housecall/start_corp.asp от ru-boy).



Преди да почне да "брояча" излезе съобщение " HouseCall has found and cleaned a malware.Worm_AGOBOT-9"(!) и бутон ОК. След ОК започна скана.

В момента излиза "Worm AGOBOT.GEN - Non Cleanable - C:\windows\system32\wincfg.exe". Ха сега де!



Предлага да го изтрия, щото не може да го почисти! Да го трия ли????

[Raid]

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">В момента сканирам с HouseCall (http://housecall.antivirus.com/housecall/start_corp.asp от ru-boy).



Преди да почне да "брояча" излезе съобщение " HouseCall has found and cleaned a malware.Worm_AGOBOT-9"(!) и бутон ОК. След ОК започна скана.

В момента излиза "Worm AGOBOT - Non Cleanable - C:\windows\system32\wincfg.exe". Ха сега де!



<div align="right">Originally posted by bestman*-*19/09/2004*:* 17:41:26</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Ми 'къв е тоя wincfg.exe, бе!!! Що ще това нещо в system32?!? Я виж дали виси като процес (щом е Non Cleanable - вероятно). Пробвай да го килнеш, после преименувай .exe-то (на wincfg.gad, например), рестарт, пак скан и кажи какво става

[bestman]

Няма го като процес!