[antoonio]

Nii asjalood siis sellised et poiss ka läbi kazaa või krt teab kus kohast on hankinud mõnusa hunniku troojalasi arvutisse ( asja huumor selles, et päev varem just lõpetasin kogu koduse masinapargi skannimise ja sai kõik puhtaks löödud).
Aga nüüd mõistus otsas ja endal ainukese pääseteena format c: mõttes.
Kasutatud on erinevaid online scannereid, removereid, PCC (see kisabki aga muud tarka ta ei tee kui paneb asja kinni), spyhunt, spyspot, A2, regedit jne. Tolku sellest pole senini olnud.
Asi siis toimub selliselt, et kui sisse logida (on XP pro) siis kukub pcc kisama, ning paneb vastavad failid karantiini.
Järgmine värk on see et peale seda põõab rundll tirida midagi käima sest viskab command promt akna ette (varem ta pole seda sellisena teinud) ning peale seda tuleb veel ette veateade et rundll ei leidnud seda faili sellest kataloogist (sest pcc koristas selle juba sealt ära). Selle faili nimesid on igasuguseid *.dll nimeks aga jääb sihuke mule et iga kord on see nimi erinev.
Minnes täpsemaks siis troojakad on järgmised
TROJ_PORNDIAL.BP (faili nimion 124506.exe asukohaga C:\ ja c\: .... local settings...\temporary internet files..., mis tekib siis logides sest pärast teda enam ei ole üldse arvutis. googel jm otsimootorid pole mind targemaks teinud sest selle faili kohta peaaegu inf puudub aga troojaka nime järgi tegutsedes jääb asi katki sest selliseid registrikandeid ja katalooge ei eksisteeri).
TROJ_AGENT.AC vot see tekitab faile erinevate nimedega nagu d3dbaj.dll; wdme.dll; ctlgb.dll; ctl.dll; ctlfan.dll jne. kõik fileed asuvad sisse logides C:\windows\system32 kataloogis.
Kasutasin ka pcc lehel olevat remuuveri aga see saatis mind pikalt, ei leidnud midagi.
TROJ_STARTPAG.AG sellel kombeks tekitada faile nagu pann.dllpfppa.dll; jbopnba.dll; geanc.dll jne mis samuti pesitsevad alustuseks system32 kataloogis. Muu jutt sama mis eelmise kohtagi.

Kõik temp kataloogid lööd tühjaks ja mida iganes võtteid ei kasuta on need sigudikut pärast restarti või logoffi tagasi.
Ahjaa. Vahepeal siis kui arvuti töötab visatakse ette plagu nomodem found (hää et modemi otsas ei istu, muidu vist oleks juba võlavangalsse saadetud).


On miskeid ideid kellelgi või peab tõesti formatiga tegelema hakkama.
Panen siia ka hijaki logi (endal tekkinud paranoia kõige suhtes mis seotud system32 kataloogiga)

ogfile of HijackThis v1.98.2
Scan saved at 20:58:08, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\program files\quicktime\qttask.exe
C:\WINDOWS\System32\twink64.exe
C:\Program Files\Common files\updater\wupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\POP-UP~1\PSFREE.EXE
C:\Program Files\DVD Region-Free\DVDRegionFree.exe
C:\Program Files\RealVNC\WinVNC\winvnc.exe
C:\Program Files\DVD Region-Free\DVDRegionFree.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\program files\quicktime\qttask.exe
C:\WINDOWS\System32\twink64.exe
C:\Program Files\Common files\updater\wupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\DVD Region-Free\DVDRegionFree.exe
C:\Program Files\DVD Region-Free\DVDRegionFree.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\viirus help\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delfi.ee/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?np-hklm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.delfi.ee/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: DVD Region-Free.lnk = C:\Program Files\DVD Region-Free\DVDRegionFree.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0411.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0411.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCCD6551-3451-46D9-93A3-983F30125109}: NameServer = 194.126.115.18,194.126.101.34

[Max Powers]

Mingeid uusi shortcute vms pole tekkinud?
Add/remove programsi alla uusi asju tulnud?

EDIT: Siin ka midagi huvitavat ( siiski vist mitte õige asi )- http://stupid.nu/aol/caseyvirus.html

[antoonio]

ei miskit uut pole avalikku kohta tekkinud, ja ligi alt kahjuks selle kohta infi pole jah.

[Max Powers]

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AC

See ei tööta?

[Trwind55]

Neid õpetusi oled proovinud:
TROJ_PORNDIAL.BP - Description and solution
TROJ_AGENT.AC - Description and solution
TROJ_STARTPAG.AG kohta tuli ainult 3 jaapanikeelset vastet.

[antoonio]

need lingid on läbitud tee

[Trwind55]

Tõrjeprogrammidest võiks soovitada veel:

DiamondCS TDS-3. Update tuleb käsitsi tömmata SIIT! (Oluline - Parem hiireklõps ja Save Target As).
Spy Sweeper. Ühe korra peaks uuendada saama.
Ad-Aware SE viimane versioon on 1.05

================================================================================

Edit:

[Deep Fury]

Antud listi ei hakanud läbi kammima aga nabi selline soft nagu TCPview ja seki kas midagi kahtlast kuulab ühe või teise pordi peal. WinXPs alates SP1st abx käsk ka "netstat -ano". Üldiselt peaks tulemüürisoft kohe kisama hakkama, kui miski trooja aktiveerub.

[jossi 1]

Alates sp2 on netstat uus võimalus "netstat -bv" või lihtsalt "netstat -b" , jääb ära pidide järgi nime tuvastamine. Kuigi tcpview on mugavam koosluses process exploreriga.

[antoonio]

üldiselt olen oma ruuteriga jälginud mis toimub, milline arvuti riti aktiivne on ja kuhu kohta kolama läheb
aga eks tsekin neid kah
koristasin selle twinki ära ja käisin veel käsitsi registrid üle, leidsin veel üht koma teist. Eks tänane päev näitab mis toimub.

[antoonio]

pastab, et seekord läks õnneks, igatahes on masin maha rahunenud ja plagud ning muu jama enam enam ette eie tule.
Uhh, tänud kõigile.

[halogen]

muide, R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?np-hklm võid maha kratsida, seda sul küll tõenäoliselt vaja ei ole.

profülaktikaks soovitaks veel immuniseerimist spyware blasteri abil