Незванный гость. Win32/TrojanDownloader.AD
С утра пригласили посмотреть на компьютер с вызывающе непонятным поведением:
1. Internet Explorer не запускается. Выдаётся ошибка…
2. Не пускает в панели управления в «Установка и удаление программ» и «Автоматическое обновление»
3. Блокируется запуск установки программ. Например, не дало установить другой браузер…
4. В диспетчере задач болтается непонятный для меня процесс с именем ZTECIOY
5. В автозагрузке болтается gEamQVx9HSk.exe, но по пути файла в папке ничего нет… 😯
6. Антивирусника на компе нет, только блокиратор запуска файлов с флешек.
Вопросов более нет, на компе незванный гость! Начинаем ковыряться в системе:
7. Ставлю ESET NOD32. Под рукой оказался v.4 со встроенными базами аж 2009 года. Обновления не идут, соединение с инетом блокируются гостем…
8. Поиск по дискам дал два файла с таким именем в папке T:/TEMP (на компе в настройках все темпы в этот каталог выведены)
ztecioy.exe
ztecioy.cfg
Жаль не могу привести содержание ztecioy.cfg , убил файл, но было оно очень неполезным. Были прописаны блокировочные процессы.
Запустил скан, ESET NOD32 слегка призадумался над ztecioy.exe, но расслабился и молча пошёл дальше… Ну что Вы хотели? Базы ить 2009 года…
9. Стало интересно что делает эта гадость. Для этого установил System Explorer и он показал параметры запуска этой гадости:
noproxy noicon hide nolog hosts=T:/Temp/ rixfdkk noddns noftp nopop3 nosmtp
Оппа, ещё один файлик — rixfdkk. Лежит тоже в T:/Temp. Внутри прописаны адреса серверов социальных сетей с ip-адресами.
10. Убиваю процесс ztecioy, удаляю все три файла, чищу T:/Temp и корзину.
11. Запускаю редактор реестра regedit и поиском ищу все строчки с ztecioy и gEamQVx9HSk. Второго параметра не нашло, зато по первому аж две строки в разных местах реестра. Удаляем!
Особенно интересной была строчка в ветке RUN, маскируется гад под флеш:
AdobeFlash REG_SZ T:/Temp/ztecioy.exe …
12. Ребут. Не полегчало, всё без изменений, хотя процесс в активных более не обнаруживается.
13 Начинаю разборки с gEamQVx9HSk.exe который светится в Пуск/Программы/ Автозагрузка с путём к файлу C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\gEamQVx9HSk.exe. Однако, физически его там я не обнаружил. Попытка удалить — ошибка! Говорит что файл занят процессом.
14. Устанавливаю Unlocker, прибиваю и удаляю эту заразу. Вот кусочек лога:
Новый PID=432 PPID=488 «C:\Program Files\Unlocker\Unlocker.exe» «C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\gEamQVx9HSk.exe» Имя родителя=»C:\WINDOWS\Explorer.EXE«
13. Ребут. Слегка полегчало. Internet Explorer запускается, всё везде начало открываться. Блокировка исчезла.
14. Инета один хрен нет… Пинги по ip идут нормально, по имени — фиг! Ясно, что-то с DNS… Лезу посмотреть свойства соединения с сетью. Ага! DNS прописан как localhost, т.е. 127.0.0.1. Ползу в настройку локальной сети, правлю DNS на тот который в локальной сети.
15. Вуаля… Инет появился…
16. Потёр бочок ESET NOD32 — базы обновились.
Лезу в корзинку удалить gEamQVx9HSk.exe и антивирь со свежими базами радостно закричал что нашёл незванного гостя и содержит в себе Win32/TrojanDownloader.AD и отправил его в карантин. Слегка удивило что видел он его совершенно с другим именем, как DC1.EXE.
Дело сделано, переустановка системы не понадобилась…
1 Response
[…] ps3: Незванный гость. Win32/TrojanDownloader.AD […]