 |
|
| node: | Win32/Injector.WE |
| template: | 4 |
| parent: | Ako na spyware |
| owner: | mirex |
| viewed by: | |
| created: | 02.09.2009 - 12:13:04 |
|
cwbe coordinatez: 101 63540 63709 1265519 4885157 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::
total children::2
1 ❤️
Ej, minuly tyzden som riesil jeden dost hnusny virus. NOD mi o nom pisal ze to je "Win32/Injector.WE trojsky kon" (obcas mi vyskakovalo okienko ze nejaky proces mi stahuje zavireny subor z internetu)
Stahovalo to subor 'pr3xy.exe' a medzi procesmi mi bezal zvlastny proces 'msdrive.exe', ktory sa tiez zaradil do registrov medzi zoznam programov spustanych po starte. Stahovalo ho to zo stranky http://67.215.1.206/
NOD s najnovsou databazou mi ho nevedel vyliecit, vyssie popisany postup pomohol iba na hodinku, potom sa to vsetko znova opakovalo, google mi o tom viruse nic nenasiel ...
Musel som sa do toho pustit hlbsie. Spustil som si zopar sledovacich programov z SysInternals:
- FileMon (ktorym som sledoval ktory proces vytvara ten subor s virusom)
- Procexp (co je taky trochu lepsi task-manager)
- TcpView (ktorym som sledoval ze ktory proces sa pripaja do internetu a stahuje ten zavireny subor)
- RegMon (ktorym som sledoval ktory program zapisuje spustanie msdrive.exe do registrov)
Po dlhsej chvili sledovania som zistil, ze stahovanie sposobuje proces 'explorer.exe', ktory je zial zivotne dolezity pre Windowsy. NOD na nom virus nenasiel, tak som sa rozhodol pre drasticke riesenie - skopirovat 'explorer.exe' z ineho pocitaca na ten moj.
Nastastie to nieje prilis zlozite. Explorer.exe sa da jednoducho killnut cez task manager. Sice tym padom pridem o taskbar, tray, start menu a vsetky podobne drobnosti, ale to nevadi. Po killnuti som cez total-commandera prekopiroval nezavadny explorer.exe na jeho miesto do WINDOWS/explorer.exe a do cache do WINDOWS/system32/dllcache/explorer.exe . System sa sice stazoval, ze sa objvila nespravna verzia suboru, a chce ho obnovit zo zalohy, ale to nevadi, dalo sa to odkliknut.
Explorer som potom znovu nakopol z task managera ( da sa spustit cez skratku Ctrl + Shift + Esc ) - v menu File som v menu Run prikazal spustit proces 'explorer'.
Potom som este vycistil msconfig, winlogon, windows adresar a temporary adresare od vyssie spominanych zavirenych suborov.
A odvtedy funguje vsetko v poriadku.
Stahovalo to subor 'pr3xy.exe' a medzi procesmi mi bezal zvlastny proces 'msdrive.exe', ktory sa tiez zaradil do registrov medzi zoznam programov spustanych po starte. Stahovalo ho to zo stranky http://67.215.1.206/
NOD s najnovsou databazou mi ho nevedel vyliecit, vyssie popisany postup pomohol iba na hodinku, potom sa to vsetko znova opakovalo, google mi o tom viruse nic nenasiel ...
Musel som sa do toho pustit hlbsie. Spustil som si zopar sledovacich programov z SysInternals:
- FileMon (ktorym som sledoval ktory proces vytvara ten subor s virusom)
- Procexp (co je taky trochu lepsi task-manager)
- TcpView (ktorym som sledoval ze ktory proces sa pripaja do internetu a stahuje ten zavireny subor)
- RegMon (ktorym som sledoval ktory program zapisuje spustanie msdrive.exe do registrov)
Po dlhsej chvili sledovania som zistil, ze stahovanie sposobuje proces 'explorer.exe', ktory je zial zivotne dolezity pre Windowsy. NOD na nom virus nenasiel, tak som sa rozhodol pre drasticke riesenie - skopirovat 'explorer.exe' z ineho pocitaca na ten moj.
Nastastie to nieje prilis zlozite. Explorer.exe sa da jednoducho killnut cez task manager. Sice tym padom pridem o taskbar, tray, start menu a vsetky podobne drobnosti, ale to nevadi. Po killnuti som cez total-commandera prekopiroval nezavadny explorer.exe na jeho miesto do WINDOWS/explorer.exe a do cache do WINDOWS/system32/dllcache/explorer.exe . System sa sice stazoval, ze sa objvila nespravna verzia suboru, a chce ho obnovit zo zalohy, ale to nevadi, dalo sa to odkliknut.
Explorer som potom znovu nakopol z task managera ( da sa spustit cez skratku Ctrl + Shift + Esc ) - v menu File som v menu Run prikazal spustit proces 'explorer'.
Potom som este vycistil msconfig, winlogon, windows adresar a temporary adresare od vyssie spominanych zavirenych suborov.
A odvtedy funguje vsetko v poriadku.