IMHO.WS - vtd

IMHO.WS (http://www.imho.ws/index.php)

- Безопасность (http://www.imho.ws/forumdisplay.php?f=19)

- - vtd_16.exe (http://www.imho.ws/showthread.php?t=65463)

Граждане, поможите плз!
Есть предположение, что на некотором порносайте подцепил вирь по имени сабж. Эта сволочь сперва скачалась без моего ведома в корень диска д. Я ее сразу прихлопнул, но после и перезагрузки, она обнаружилась в виде процесса с одноименным названием. Переодически она (скорее всего) вешает систему (вин ХР сп1) показывая синий экран и ругаясь на VDNT32.SYS. Ессно как белый человек я ее снес (жила в c:\windows\system32\vtd_16.exe. Но при следующей загрузке она респавнулась и опять преспокойно висела как процесс, переодически вешая систему. Опять-таки как белый человек, прошелся по ней антивирем (AntiVir - Personal Edition (кста хороший антивирь, отличающийся особой подозрительностью ко всему, что тот же авп считает здоровым)), но он смолчал, сказав, что файлец нормальный. Дальше онлайновым НАВ'ом прошелся - тот тоже сказал что все ок. Я как уже изумленный белый человек, решил, что "если агента кгб не удалось купить, значит нада его убить.. то есть уничтожить физически." Прошелся по всем местам откуда может что-то при старте винды загружаться. Автозагрузка, реестр, вин.ини... - нигде упоминания об этой сволочи нету. На последок, попользовав монитор реестра, узрел слежующее:

22.25653093 vtd_16.exe:1644 CreateKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters SUCCESS Key: 0xE27EA768
22.25660692 vtd_16.exe:1644 OpenKey HKLM\System\CurrentControlSet\Services\DnsCache\Parameters SUCCESS Key: 0xE10F3228
22.25665329 vtd_16.exe:1644 OpenKey HKLM\Software\Policies\Microsoft\Windows NT\DnsClient NOTFOUND
22.25669659 vtd_16.exe:1644 OpenKey HKLM\Software\Policies\Microsoft\System\DNSClient NOTFOUND
22.25673905 vtd_16.exe:1644 QueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Domain SUCCESS ""
22.25677425 vtd_16.exe:1644 QueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Domain SUCCESS ""
22.25683152 vtd_16.exe:1644 CloseKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters SUCCESS Key: 0xE27EA768
22.25687147 vtd_16.exe:1644 CloseKey HKLM\System\CurrentControlSet\Services\DnsCache\Parameters SUCCESS Key: 0xE10F3228
22.25772885 vtd_16.exe:1644 CreateKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters SUCCESS Key: 0xE10F3228
22.25780176 vtd_16.exe:1644 OpenKey HKLM\System\CurrentControlSet\Services\DnsCache\Parameters SUCCESS Key: 0xE27EA768
22.25784646 vtd_16.exe:1644 OpenKey HKLM\Software\Policies\Microsoft\Windows NT\DnsClient NOTFOUND
22.25788836 vtd_16.exe:1644 QueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname SUCCESS "true-lcw1k7op8b"
22.25792300 vtd_16.exe:1644 QueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname SUCCESS "true-lcw1k7op8b"
22.25820656 vtd_16.exe:1644 CloseKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters SUCCESS Key: 0xE10F3228
22.25826579 vtd_16.exe:1644 CloseKey HKLM\System\CurrentControlSet\Services\DnsCache\Parameters SUCCESS Key: 0xE27EA768
22.25838200 vtd_16.exe:1644 CreateKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters SUCCESS Key: 0xE27EA768
22.25844765 vtd_16.exe:1644 OpenKey HKLM\System\CurrentControlSet\Services\DnsCache\Parameters SUCCESS Key: 0xE10F3228
22.25848788 vtd_16.exe:1644 OpenKey HKLM\Software\Policies\Microsoft\Windows NT\DnsClient NOTFOUND
22.25854571 vtd_16.exe:1644 OpenKey HKLM\Software\Policies\Microsoft\System\DNSClient NOTFOUND
22.25869796 vtd_16.exe:1644 QueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Domain SUCCESS ""
22.25873400 vtd_16.exe:1644 QueryValue HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Domain SUCCESS ""
22.25878010 vtd_16.exe:1644 CloseKey HKLM\System\CurrentControlSet\Services\Tcpip\Parameters SUCCESS Key: 0xE27EA768
22.25881977 vtd_16.exe:1644 CloseKey HKLM\System\CurrentControlSet\Services\DnsCache\Parameters SUCCESS Key: 0xE10F3228
22.25948605 vtd_16.exe:1644 QueryValue HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalo g9\Serial_Access_Num SUCCESS 0x6
22.25955533 vtd_16.exe:1644 OpenKey HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalo g9\00000006 NOTFOUND
Эт собстно то, на что оно (она, он) постоянно пытается покуисться...
Что делать даже не знаю. Можа конечно это и не вирь, может система сама переодически падает, но до появления этого загадочного файла, ничего подобного не замечалось.
Поможите, господа, победить супостата!

http://www.sysinternals.com/ntw2k/fr...autoruns.shtml просмотри на всякий случай и етим все аутостарты.
http://www.sysinternals.com/ntw2k/fr.../procexp.shtml етим процесы на всякий случай еше раз глянь.
----------
как я понял из монитора рег'а, играет vtd с двумя сервисами :tcp/ip protocol driver (lsass.exe) и dns-client (svchost.exe). что он точно делает не пoнял... взглянь на них внемательней и посмотри что изменилось в services.msc
----------
можеш мне еше етот vtd_16.exe дать?

Camelot
Да, выложи здесь этот файл - посмотрим.

А ты в качестве поиска в реестре вводил само название файла?

Camelot
чисть реестр от этого. в автозагрузку и win.ini тоже загляни. а вообще очень похожая тема уже обсуждалась. максимум две недели назад.
если найду - ссылку допишу.
добавлено
вот, не в точноти то, но очень схожие грабли
http://www.imho.ws/showthread.php?t=49145
http://www.imho.ws/showthread.php?t=64905

Plague
Он же писал:

Цитата:

Прошелся по всем местам откуда может что-то при старте винды загружаться. Автозагрузка, реестр, вин.ини... - нигде упоминания об этой сволочи нету.

В принципе, эта штука может грузиться через DLL, которая запускается при старте системы с оболочкой (explorer). тогда поиск будет весьма затруднителен :rolleyes:

Всем tnx. Проблему решил путем переустановки винды. Файлец на экспертизу не додумался сохранить :) но ежли, не дай бог, еще раз цепану - будет всем подопытный кролик. :)

Пацаны...если надо могу тусануть ..вот зашел посмотреть как его вылечить, а смотрю винду переставлять придется Ж)

файло давай сюда ) потестим в VM-ware-win :biggrin:

Est eshe mnogo raznih sposobow zapuska chego-libo w winde ;-). Poslednyaja widennaya mnoju durka ispolzowala metod injektinga koda swoei biblioteki w drugie processi, naiti fenechku bilo neskolko problematichno.

Esli komu-libo interesen primer ishodnika:
http://www.codeproject.com/dll/DLL_I...n_tutorial.asp

Как я победил этот вирус

Дело было так.
Сначала я отключил антивирус, чтобы он не забирал ресурсы, думал сам
справлюсь с вирусами, не в первой.
Пришел вчера на работу, все как обычно, только комп подвис минут через 5 и перезагрузился. Однако. Ну ладно, значения не придал. После ребута история повторилась. В процессах ничего подозрительного не было, а вот в реестре (автозагрузка) было. Выглядела строка так:
secboot %root%\system32 vtd_16.exe!!
Ну ладно, подумал я, фигня. Подчистил реестр, полез убирать файл. А он и не удаляется, типа совместный доступ к файлу. Пошел дальше процессы смотреть, некоторые закрыл. НО все равно что-то держит его, не дает удалить.
Полез в инет за информацией, кроме этой страницы ничего не нашел. Да и тут человек просто переставил систему. Но это не наши методы.
В общем, друг потом где-то нашел информацию, подсказал что это haxdoor.k (еще называют haxdoor.ak, haxdor-fem или fam и т.д.). Кинул антивирус (вроде заточенный под это дело - Sophos Anti-Virus). Нашел он еще пару файлов от этого вируса и блокировал их (надо заметить, что все это происходило в сейфмоде, т.к. там у него не получалось ребутнуть, хоть он и пытался (!)).
Дальше я нашел эту страницу
http://www.sophos.com/virusinfo/anal...jhaxdoork.html
где на закладке Адвансед было достаточно полезной информации.

В общем, убил я по порядку все эти файлы
cm.dll
draw32.dll
hm.sys
memlow.sys
p2.ini
vdnt32.sys
wd.sys
i.a3d
klogini.dll
(порядок важен)
и система дала удалить vtd_16.exe
Отлично, половина дела сделана.
Далее убираем следующие сервисы:

servicename = memlow
imagepath = \\<Windows>\<system>\memlow.sys
and
servicename = vdnt32
imagepath = \\<Windows>\<system>\vdnt32.sys

В итоге, казалось бы все. НО!
Перезагрузив в нормальный режим, все идет отлично до того момента, когда должен появиться интерфейс. Компьютер не висит, но и интерфейс не появляется - просто мышка на синем (вин 2000) фоне.
В общем, долго я вчера бился еще с этим, думал что это следствие сервиса memlow, почистил весь реестр, но безрезультатно.
Все поиски в сети происходили на другом компьютере этой же сети. Утром включив его, там оказалась точно такая же ситуация. Проверил на вирус в сейфмоде, все чисто, но не догружается.
И потом меня резко осенило: я убрал тот антивирус, который мне посоветовали для этого вируса, убрал в автозагрузке, реестре, в сервисах и все заработало на обоих компьютерах.
Все это в общем то лирика, но предостережение, что не стоит ставить тот антивирус.
А к делу относится только средний раздел.
Оказалось все очень просто. Удачи!

P.S. кому интересно - могу выслать вирус для опытов.

Цитата:

Сообщение от Konstk

Дело было так.

P.S. кому интересно - могу выслать вирус для опытов.

Интересно, кидай на virus@virusinfo.info

и все таки - как избавиться от этой хрени?
выше написаное не помогает - не хочет удаляться...
как быть?

неужели ни у кого нет решения этой проблемы?
ну не хочет этот софос грузиться в сейфмоде...