Share

Незванный гость. Win32/TrojanDownloader.AD

TrojanDownloader.AD

Троян Win32/TrojanDownloader.AD

С утра пригласили посмотреть на компьютер с вызывающе непонятным поведением:

1. Internet Explorer не запускается. Выдаётся ошибка…

2. Не пускает в панели управления в «Установка и удаление программ» и «Автоматическое обновление»

3. Блокируется запуск установки программ. Например, не дало установить другой браузер…

4. В диспетчере задач болтается непонятный для меня процесс с именем ZTECIOY

5. В автозагрузке болтается gEamQVx9HSk.exe, но по пути файла в папке ничего нет…  😯

6. Антивирусника на компе нет, только блокиратор запуска файлов с флешек.

Вопросов более нет, на компе незванный гость! Начинаем ковыряться в системе:

7. Ставлю ESET NOD32. Под рукой оказался v.4 со встроенными базами аж 2009 года. Обновления не идут, соединение с инетом блокируются гостем…

8. Поиск по дискам дал два файла с таким именем в папке T:/TEMP (на компе в настройках все темпы в этот каталог выведены)

ztecioy.exe
ztecioy.cfg 

Жаль не могу привести содержание ztecioy.cfg  , убил файл,  но было оно очень неполезным. Были прописаны блокировочные процессы.

Запустил скан, ESET NOD32 слегка призадумался над ztecioy.exe, но расслабился и молча пошёл дальше… Ну что Вы хотели? Базы ить 2009 года…

9. Стало интересно что делает эта гадость. Для этого установил System Explorer и он показал параметры запуска этой гадости:

noproxy noicon hide nolog hosts=T:/Temp/ rixfdkk noddns noftp nopop3 nosmtp

Оппа, ещё один файлик — rixfdkk. Лежит тоже в T:/Temp. Внутри прописаны адреса серверов социальных сетей с ip-адресами.

10. Убиваю процесс ztecioy, удаляю все три файла, чищу T:/Temp и корзину.

11. Запускаю редактор реестра regedit и поиском ищу все строчки с ztecioy и gEamQVx9HSk. Второго параметра не нашло, зато по первому аж две строки в разных местах реестра. Удаляем!

Особенно интересной была строчка в ветке RUN, маскируется гад под флеш:

AdobeFlash REG_SZ T:/Temp/ztecioy.exe …

12. Ребут. Не полегчало, всё без изменений, хотя процесс в активных более не обнаруживается.

13 Начинаю разборки с gEamQVx9HSk.exe который светится в Пуск/Программы/ Автозагрузка с путём к файлу C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\gEamQVx9HSk.exe. Однако, физически его там я не обнаружил. Попытка удалить — ошибка! Говорит что файл занят процессом.

14. Устанавливаю Unlocker, прибиваю и удаляю эту заразу. Вот кусочек лога:

Новый PID=432 PPID=488  «C:\Program Files\Unlocker\Unlocker.exe» «C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\gEamQVx9HSk.exe»  Имя родителя=»C:\WINDOWS\Explorer.EXE«

13. Ребут. Слегка полегчало. Internet Explorer запускается, всё везде начало открываться. Блокировка исчезла.

14. Инета один хрен нет… Пинги по ip идут нормально, по имени — фиг! Ясно, что-то с DNS… Лезу посмотреть свойства соединения с сетью. Ага! DNS прописан как localhost, т.е. 127.0.0.1. Ползу в настройку локальной сети, правлю DNS на тот который в локальной сети.

15. Вуаля… Инет появился…

16. Потёр бочок ESET NOD32 — базы обновились.

Лезу в корзинку удалить gEamQVx9HSk.exe и антивирь со свежими базами радостно закричал что нашёл незванного гостя и содержит в себе Win32/TrojanDownloader.AD и отправил его в карантин. Слегка удивило что видел он его совершенно с другим именем, как DC1.EXE.

Дело сделано, переустановка системы не понадобилась… 

ps: Незванный гость. Win32/Spy.Shiz.NBW

You may also like...

1 Response

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.