BackDoor.Kais

[Сергеич]

Притащил на флэшке BackDoor.Kais

Когда открываю диски левым кликом Outpost тут же блокирует попытку закрыть себя процессом LSASS.EXE. Проверка дрвэбом показывает BackDoor.Kais Друзья сказали, что от меня пришло письмо с фотками порнухи. Друзья-то довольны, а вот я - нет.

Что делать?

С уважением,

Сергеич

[PavelA]

Обновить версию AVZ надо. Текущая 4.27

[Сергеич]

regedit.exe не открывается... Не удалось, говорит, найти. Хотя вот он, в винде лежит...

Добавлено через 41 секунду

Обновить версию AVZ надо. Текущая 4.27

Щаз сделаем.

[Bratez]

1. Скачайте свежую версию AVZ - 4.27, обновите ей базы и сделайте логи заново.
2. Поищите через AVZ: Сервис - Поиск файлов... такой файл: setuprs1.PIF.
Пришлите его по правилам. Также интересует файл inter.exe, если не знаете что это такое, пришлите и его.

Добавлено через 2 минуты

Выполните в AVZ: Файл - Восстановление системы - п.9 - Выполнить. После этого попробуйте редактор реестра.

[Сергеич]

Скачал AVZ - 4.27 Жму на "стандартные скрипты" - открывается пустое окно скриптов.

inter.exe - это служебный чат

[Сергеич]

Выполните в AVZ: Файл - Восстановление системы - п.9 - Выполнить. После этого попробуйте редактор реестра.

Ага, заработало!

1. Скачайте свежую версию AVZ - 4.27, обновите ей базы и сделайте логи заново.

Сделал!

2. Поищите через AVZ: Сервис - Поиск файлов... такой файл: setuprs1.PIF

Не найдено.

Куда двигаться дальше? Готов к труду и обороне!

С уважением,

Сергеич

[V_Bond]

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('G:\INTER\inter.exe','');     
 BC_ImportQuarantineList;
 ExecuteRepair(9);     
 BC_QrSvc('MicrosoftHelp');   
  BC_QrSvc('kkdc');
 BC_DeleteSvc('MicrosoftHelp');  
 BC_DeleteSvc('kkdc');
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[Сергеич]

Усё сделал!

Жду дальнейших указаний!

[V_Bond]

G:\INTER\inter.exe - чистый ... больше ничего в карантин не попало ...
повторите логи ....

[Сергеич]

повторите логи ....

Готово!

[Сергеич]

На флэшке и логических дисках остались какие-то загадочные папки с названием runauto.. Хотел потереть - недаёт зараззза...

И куча папок с именами от FOUND.000 до FOUND.007

[PavelA]

Папки FOUND.000 до FOUND.007 это от chkdsk. Можно их поудалять.
Для борьбы с runauto.. напишу совет ниже.

[PavelA]

Поправленное от http://zlava.livejournal.com/232202.html THK p2u за ссылку.
Выполнять аккуратно!!!!

1. уходим в безопасный режим.
При помощи Far/total commander
2. убиваем всю сволочь. то есть:
2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…
2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…

3. чистим реестр (я взял утилиту RegWorks), удаляя:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List — параметр C:\WINDOWS\lsass.exe

этта херня, прадва, удаляться не захотела:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKD C
HKLM\SYSTEM\ControlSet001\Services\kkdc
HKLM\SYSTEM\ControlSet002\Services\kkdc
HKLM\SYSTEM\ControlSet003\Services\kkdc
HKLM\SYSTEM\CurrentControlSet\Services\kkdc

скрипт велит удалять, но у меня такого не было:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST

заменяем:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
на
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).

заодно запрещаем на будущее автозапуск всяких дисков, флешек и прочего:
в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
создаем два параметра:
NoDriveTypeAutoRun, формат reg_dword, значение 000000ff (шестнадцатиричное);
NoDriveAutoRun, формат reg_dword, значение 03ffffff (шестнадцатиричное).

4. проверяем, ничего ли мы не забыли и у всех ли все есть, и перезагружаемся в нормальный режим.

так-то вот. msconfig.exe у меня ожила. а cmd.exe стало иметь тот вид, который надо ей иметь (то есть вроде никто не перехватывает). с чем всех и поздравляю. надо, наверное, написать-таки BAT… на будущее… м-да…

с перерывами угрохал часов семь. жуть какая.

Если возникнут сложности, будем писать скрипт для удаления этой всей гадости.

[Сергеич]

2. убиваем всю сволочь. то есть:
2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…

Сделал.

2. убиваем всю сволочь. то есть:
...
2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…

Я правильно понял, что эти файлы бить не надо?

3. чистим реестр (я взял утилиту RegWorks), удаляя:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List — параметр C:\WINDOWS\lsass.exe

Сделал.

этта херня, прадва, удаляться не захотела:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKD C
HKLM\SYSTEM\ControlSet001\Services\kkdc
HKLM\SYSTEM\ControlSet002\Services\kkdc
HKLM\SYSTEM\ControlSet003\Services\kkdc
HKLM\SYSTEM\CurrentControlSet\Services\kkdc

скрипт велит удалять, но у меня такого не было:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST

У меня тоже.

заменяем:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
на
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).

Такой фигни у меня ныбыло. Параметр CheckedValue в порядке.

Ещё что то сделать? Папка runauto.. так и не удаляется.

[PavelA]

Сделал.

Я правильно понял, что эти файлы бить не надо?

2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…

их как раз надо убивать. Все, что найдется. С первого раза не всегда удается задавить гада до конца. Так что будь готов к повторению всех шагов.

[Сергеич]

их как раз надо убивать. Все, что найдется. С первого раза не всегда удается задавить гада до конца. Так что будь готов к повторению всех шагов.

Искал поиском винды и AVZ. Ничего не нашёл.

[PavelA]

Папку runauto.. откуда удалял? Она хитрая, просто из проводника удаляться не будет.

[Сергеич]

Да не удаляется она...

[PavelA]

hiren boot Cd надо сделать. С него загрузиться и удалять эту всю гадость.
Можно еще Bart Pe использовать.

[XP user]

Да не удаляется она...

http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe

Установить. Правой кнопкой мыши на папку щёлкать и выбрать 'Unlocker'. Потом выбрать 'Delete'.

P.S.: Про 'CheckedValue'... Вы говорите, что 'параметр в порядке'. Как вы это определили? Я, например, не думаю, что он в порядке. Поэтому AVZ и никаких авторан не находит. Замените как указано:

заменяем: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).

Потом надо задать Windows, чтобы она показала все скрытие и системные файлы. Пока вы не удаляете авторан везде, где нужно - успеха не будет... Paul