Полезная информация

Общайтесь со знакомыми и друзьями в нашей группе в Контакте.

№2611-09-2006 23:16:52

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Спасибо други за советы. Они помогли понять в чем дело. Al_H подсказал правильный механизм работы трояна: он запускает любой браузер по умолчанию. Если поставить по умолчанию Флок, то с системой запустится Флок, если Макстон, то запустится Макстон. На сайте Хакер.ру даже объясняют, как сделать такую гадость. Вот цитата:


"В Windows есть хорошая API-функция ShellExecute, она открывает файлы и запускает программы. Вызвать эту функцию - все равно, что дважды клацнуть по указнному файлу. Документы будут открываются в Word'е, файлы с расширением TXT - в блокноте, а EXE... они просто запускаться =) Это мы и используем - запустим браузер сами!
Допустим, мы хотим запустить Internet Explorer. Вызовем ShellExecute так:
ShellExecute(0, 'open', 'iexplore.exe', nil, nil, SW_HIDE);
Первый параметр - хендл окна-владельца открытого браузера. У нас 0 - владельца нет. Второй и третий параметры - операция (у нас "open" - т.е. открыть) и программа, к которой эта операция дожна быть применена. Четвертый параметр - PAnsiChar-строка с параметрами. Мы ничего не передаем, у нас там nil. Предпоследний, пятый параметр, тоже PAnsiChar-строка - директория по умолчанию. У нас опять-таки nil. И наконец последний, самый интересный параметр - константа, определяющая способ запуска программы, в которой будет открыт документ. Здесь мы передаем SW_HIDE, и наш браузер запускается в скрытом виде! Т.е., говоря языком VCL-форм в Delphi, ее главное окно имеет свойство Visible:=FALSE.
Поэтому когда мы сами откроем Internet Explorer по умолчанию, пользователь (или, как говорит дотошный читатель, "ламер") ничего не заметит. Увидеть и закрыть запущенный таким образом браузер можно только в менеджере задач, по Ctr+Alt+Del. Кстати, в Windows 2000/XP для этого понадобится зайти на вкладку "Процессы", потому что на вкладке "Приложения" iexplore.exe не видно =)
Сам троян может узнать, запустился ли браузер, проверив значение, которое возвратит ShellExecute. Если оно больше 32 - все о'кей."


Именно только в процессах и виден браузер, запускающийся сам собой.

По совету одного из участников, я воспользовалась программой HijachThis, которая мне записала следующее (это все, что работало после перезагрузки). На момент записи в качестве браузера по умолчанию стоял Макстон, он и присутствует в процессах:

Logfile of HijackThis v1.99.1
Scan saved at 22:27:52, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
D:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
D:\Program Files\Eset\nod32krn.exe
D:\Program Files\Agnitum\Outpost Firewall\outpost.exe
D:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
D:\WINDOWS\system32\svchost.exe
D:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe
D:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
D:\Program Files\Maxthon LEM Pack\Maxthon.exe
D:\WINDOWS\ATK0100\HControl.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\SlickRun\sr.exe
D:\WINDOWS\ATK0100\ATKOSD.exe
D:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\Documents and Settings\Zazi\Рабочий стол\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 163.28.146.2:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - D:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: eSnips - {ED1184DA-E57E-4480-99D0-A16809037F54} - D:\Program Files\eSnips\SnipBar.dll
O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [HControl] D:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zTrashReg] d:\program files\trashreg\trashreg.exe /AUTO
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SlickRun] "D:\Program Files\SlickRun\sr.exe"
O4 - Global Startup: F-Secure 2006.lnk = D:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: &Block this popup - D:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Snip to my eSnips account - D:\Program Files\eSnips\res\SnipIt.htm
O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://D:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000
O8 - Extra context menu item: Добавить страницу в URL-Album - D:\Program Files\URL-Album\ua.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Добавить страницу в URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75053} - D:\Program Files\URL-Album\ua.htm (HKCU)
O9 - Extra button: (no name) - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU)
O9 - Extra 'Tools' menuitem: Открыть URL-Album - {4D9BEE60-F894-11D4-9B21-AD4030B75054} - D:\Program Files\URL-Album\urlalbum.exe (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{656C9327-BA4F-420A-BD94-9999F75FDFDC}: NameServer = 212.188.4.10 195.34.32.116
O20 - AppInit_DLLs: D:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll D:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: IntelWireless - D:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Корпорация Майкрософт - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: EvtEng - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - D:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: Iomega App Services - Unknown owner - (no file)
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: OwnershipProtocol - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

Теперь я знаю, как по какому механизму запускается мой троян, какие процессы запускаются вместе с Виндоуз, а также, что NOD32 и SpyBot ничего не находят. Вот таковы результаты моих поисков. Явно неутешительные, поскольку этот засланец так и шурует где-то в моей машине... Если у кого еще есть советы, что можно сделать, то пишите, все испробую и доложу, кому будет интересно знать.

 

№2711-09-2006 23:46:45

Sergeys
Administrator
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 23-01-2005
Сообщений: 14014
Веб-сайт

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Попробуй просканировать систему с помощью Panda ActiveScan или установить Platinum 2006(7) Internet Security и также проверить. Подобных проблем этот антивирь не допускал.


Через сомнения приходим к истине. Цицерон

Отсутствует

 

№2812-09-2006 10:59:51

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Проверила Пандой, ничего нет. Хотела обхитрить этого гада запретив автозагрузку ФФ через Spybot, но ничего не получилось. При перезагрузке ФФ все равно висит в процессах. Если намеренно поставить в  Spybot автозагрузку ФФ, то в процессах уже висит два ФФ, один реальный, а второй - запущенный трояном. Так что пока нет никаких результатов. Пойду искать помощи у создателей Панды, может, дадут какой совет. Если будут результаты, то напишу.

 

№2912-09-2006 12:47:08

bopUK
Участник
 
Группа: Members
Зарегистрирован: 02-09-2005
Сообщений: 171

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Вроде всё нормально, только вот странные такие строчки:
B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)

файл вроде убит, но записи остались.

И еще - а что такое?
O4 - HKCU\..\Run: [SlickRun] "D:\Program Files\SlickRun\sr.exe"
Может она при входе и запускает окно?
Попробуйте её в автозагрузке задисаблить и перегрузиться. Если ничего не поменяется, то её опять можно вернуть назад.

Отсутствует

 

№3012-09-2006 15:04:28

ПоклонникФФ
 
Группа: Guest

Re: Помогите, шпион в ФФ. Ничем не удаляется!

SlickRun это программа такая. Что-то вроде командной строки для чайников :) запускает разные программы. Я ею давно пользуюсь, это точно не от нее проблемы.

Только вот не поняла, что Вы этой записью хотели сказать? :/

B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)

файл вроде убит, но записи остались.

Файл вируса не нашел пока ни один антивирь (Аваст, Нод, Панда). Панда нашла две куки, но это мелочи. Тем более проблема все равно пока остается.

 

№3112-09-2006 15:36:02

Wiccanmist
Забанен
 
Группа: Members
Откуда: Khimki
Зарегистрирован: 18-05-2006
Сообщений: 551
Веб-сайт

Re: Помогите, шпион в ФФ. Ничем не удаляется!

ПоклонникФФ пишет

Файл вируса не нашел пока ни один антивирь (Аваст, Нод, Панда). Панда нашла две куки, но это мелочи. Тем более проблема все равно пока остается.

Norton 2006 и Касперик попробуй :)

Отсутствует

 

№3212-09-2006 15:55:06

bopUK
Участник
 
Группа: Members
Зарегистрирован: 02-09-2005
Сообщений: 171

Re: Помогите, шпион в ФФ. Ничем не удаляется!

Только вот не поняла, что Вы этой записью хотели сказать?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - shell32.dll (file missing)


O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Корпорация Майкрософт - (no file)

Надо опять запустить HijackThis, отметить в нем эти строчки и нажать на Fix.

Отредактировано bopUK (12-09-2006 15:58:02)

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]