.
18 января 2012

Не открывается gmail — борьба с Kryptic.PHG

posted in security, Администрирование |

Не буду объяснять почему безопасность домашнего/рабочего компа, напрямую влияет на безопасность ваших интернет проектов, поэтому сему посту на блоге быть ! :)

Ни с того, ни с сего перестал открываться gmail.com Пробовал разными браузерами — эффект нулевой.
Установленный ESET NOD32 Antivirus 4.2.71.3 со свежими базами молчит как рыба об лёд.
Слил и запустил свежий cute it — ничего.
Обновил AVZ4 вместе с базами — просканировал комп — снова пусто.

Погуглил — подозрение на Shiz не оправдалось — признаки наличия не обнаружились.

Ну что же — засучили рукава и вперёд:
* route print — ничего подозрительного
* C:\WINDOWS\system32\drivers\etc\hosts — тоже всё гладко
* на всякий случай почистил темповые и временные файлы в \Documents and Settings\%uses%\
* полез в реестр по ключам автозапуска — и вот оно ! сволочь прикрепилась везде где только можно:

Далее поиском по ftfeev во всем реестре вычислил ещё пару мест:

Чистим трояна во всех вышеприведённых ветках реестра.
Идём далее ...

Как видно выше тварь поселилась тут C:\WINDOWS\AppPatch\
Листинг директории такой:
1 860 608 AcGenral.dll
421 376 aclayers.dll
117 760 AcLua.dll
4 096 AcRes.dll
266 752 AcSpecfc.dll
1 150 976 acuddi.dll
121 856 AcXtrnal.dll
254 360 apphelp.sdb
651 958 apph_sp.sdb
12 932 drvmain.sdb
265 552 ftfeev.exe
668 460 msimain.sdb
208 896 ppjbli.dat
1 364 226 sysmain.sdb

Попытки удаления ни к чему не привели — всё файло тут же восстанавливается!
В диспетчере задач процесс ftfeev.exe отсутствует!
Похоже замаскировался в svchost.exe или ещё где ...

Начали килять процессы, видимо грохнул не тот — комп перезагрузился, после чего повторная проверка в реестре вирус не нашла и после чистки папки с вирусом — более не восстановился.
Gmail загрузился!

Всё, победа !

P.S.
1. Вообще вирусовые файлы удалять я планировал с помощью AVZ4

2 Для истории папку с вирусом я запаковал, и при написании поста нужно было для листинга развернуть троян с архива — и тут то Есет прозрел ! и увидел трояна (как бля вовремя!)

Kryptik.PHG

3. На последок приведу ветки реестра для ручного поиска тварей:

(основные выделил)
\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
\HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
\HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
\HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
\HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
\HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunServices\

При нахождении подозрительного — работаем уже с ним.

4. Так же не забываем глянуть сюда C:\Documents and Settings\%username%\Главное меню\Программы\Автозагрузка\

5. Для анализа сетевого трафика и вычисления тварей рекомендую юзать win32 снифер wireshark. В моём случае до его использования не дошло.

6. К сожалению причину — как именно я словил трояна и почему антивирусы позволили гадости прилепиться в систему я не определил, поэтому дыра ещё открыта :(

Яндекс.Метрика