Win32.Trojan-Downloader.Small.nwj

[Melamory]

Здравствуйте, Saule!

Вчера Nod32 поймал тряна: Win32/Trojan-Downloader.Small.nwj

(Dr.Web-online по ссылке с которой сам троян (http://bibi32.org/505/Xp//file.php) , находит Trojan.DownLoader.28665)

Кликнула на "завершить".

Смотрю лог вирусов. IMON колонка действия пуста!

Хотя, когда пробовала тестовый вирус в "действиях" при этом значилось "изолирован".

Просканировала весь компьютер, Нод ничего не нашёл.

Но, поскольку в колонке действия Нода ничего не прописано, то я сомневаюсь, что всё чисто.

И еще, в автозагрузке что-то подозрительное: UserFaultCheck %systemroot%\system32\dumper 0 -u

Лог HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 23:02:05, on 13.10.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\ATKKBService.exe

F:\Program Files\Eset\nod32krn.exe

F:\WINDOWS\system32\nvsvc32.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\RTHDCPL.EXE

F:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe

F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

F:\WINDOWS\system32\RUNDLL32.EXE

F:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

F:\Program Files\ESET\nod32kui.exe

F:\Documents and Settings\melamory\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [igfxTray] F:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] F:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] F:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C43 Series" /O5 "LPT1:" /M "Stylus C43"

O4 - HKLM\..\Run: [nod32kui] "F:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\RunOnce: [CleanUp!] F:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart

O4 - Global Startup: QuickTV.lnk = F:\Program Files\AVerTV\QuickTV.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156263443921

O20 - Winlogon Notify: igfxcui - F:\WINDOWS\SYSTEM32\igfxdev.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - F:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - F:\WINDOWS\ATKKBService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - F:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - F:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - F:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - F:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - F:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - F:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - F:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - F:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - F:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - F:\WINDOWS\system32\wbem\wmiapsrv.exe

Помогите пожалуйста!

[Melamory]

Просканировала ещё Ad-Aware-Se-Personal, он тоже ничего подозрительного не нашёл.

Но компьютер загружается очень медлено :) .

[Форматцевт]

Win32/Trojan-Downloader.Small.nwj - это эксполит, если ты используешь Dr.Web или AVP KAS (любой версии), а для Nod32 этот вирус просто ошибка.

[Saule]

Здравствуйте, Saule!

Смотрю лог вирусов. IMON колонка действия пуста!

Здравствуйте, Melamory.

Не знаю, почему NOD32 так себя повел. Пробовала разными способами (и напрямую, и с помощью скриптов), но у меня во всех случаях в логе выводилось: "Связь завершена."

Тем не менее вирус я у себя в качестве эксперимента запустила.

Сразу было создано огромное количество вредоносных (и не очень) файлов, некоторые из которых я перечислю, чтобы ты на всякий случай по аналогии могла проверить у себя (были закачены такие вирусы, как: Trojan-PSW.Win32.LdPinch.cds, Email-Worm.Win32.Mydoom.bj, Trojan.Win32.Agent.bwn, Rootkit.Win32.Agent.jj):

C:\WINDOWS\

msdnc4.exe

C:\WINDOWS\system32\

msdnc4.exe

C:\WINDOWS\system32\

msdnc0.exe

C:\WINDOWS\system32\

gcc.exe

C:\

1.tmp

C:\

2.tmp

C:\

3.tmp

C:\

4.tmp

C:\

6.tmp

C:\

8.tmp

C:\WINDOWS\system32\drivers\

protect.sys

- скрыт с помощью руткит технологий

C:\WINDOWS\system32\

DefLib.sys

- скрыт с помощью руткит технологий

Плюс ряд временных файлов в обычных для этого директориях:

C:\Documents and Settings\имя пользователя\Local Settings\Temp\

C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files\Content.IE5\произвольный набор букв\

В логе HijackThis при этом появились следующие строки (у тебя их, к счастью, нет):

O4 - HKLM\..\Run: [system] C:\WINDOWS\msdnc4.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe

И AVZ при сканировании начал выдавать следующее:

>>>> Подозрение на маскировку файла процесса: c:\windows\system32\winlogon.exe

Функция NtCreateThread (35) перехвачена (805C5AD0->F76A24FE), перехватчик C:\WINDOWS\system32\DefLib.sys

Функция NtEnumerateValueKey (49) перехвачена (8061967C->F76A2508), перехватчик C:\WINDOWS\system32\DefLib.sys

Функция NtOpenProcess (7A) перехвачена (805BFB78->F76A2490), перехватчик C:\WINDOWS\system32\DefLib.sys

Функция NtQueryDirectoryFile (91) перехвачена (8056DF44->F76A23A2), перехватчик C:\WINDOWS\system32\DefLib.sys

Функция NtQuerySystemInformation (AD) перехвачена (8060633E->F76A2300), перехватчик C:\WINDOWS\system32\DefLib.sys

c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

Плюс начали сыпаться подобные окошки (видимо, ошибки в вирусе :)):

Поэтому думаю, что NOD32 всё-таки не дал всему этому установится (лог HijackThis выглядит чистым). Правда, также на всякий случай можно посмотреть и на 'Исследование системы с помощью AVZ' (как сама считаешь нужным) + почисти систему от временных файлов.

И еще, в автозагрузке что-то подозрительное: UserFaultCheck %systemroot%\system32\dumper 0 -u

Запись: O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u - можно пофиксить (она принадлежит системе: запуск файла C:\WINDOWS\system32\dumprep.exe - Dump Reporting Tool - появляется в некоторых случаях после системных ошибок).

[Melamory]

Солнце, огромное тебе спасибо!

:(

Теперь я спокойна.