Показано с 1 по 15 из 15.

тандем из UltimateDefendera с Трояном Даунлоудером + зоопарк (возможно макросный вирус) (заявка № 51855)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54

    тандем из UltimateDefendera с Трояном Даунлоудером + зоопарк (возможно макросный вирус)

    До сегодняшнего дня всё было спокойно. Стоял NOD32. Компьютер подключен в локальную сеть. Выход в интернет через VPN-сервер.
    Nod возопил о том, что в файле D:\WINDOWS\system32\dllcache\figaro.sys пойман вирус, который лезит из файла
    D:\windows\Temp\Bn(№каждый раз разный).tmp.
    Файл был помещен в карантин. Это вирус UltimateDefender.A. Он создал процесс brastk.exe. Позже к нему присоединился процесс
    braviax.exe.
    Теперь я жалею, что не обратил внимания на дропер из .tmp. И вцепился в душение UltimateDefendera.A. Вирус проявился красным
    крестиком рядом с часами. Где на английском было написано предложение скачать spyware-софт, т.к. компьютер заражён. С дуру
    забыл, что винда русская и скачал... Что скачал не знаю, но видимо ещё пару вирусов: появлялось черное окошко DOS'овское.
    Тогда разозлися мечом (IceSword122) порубил файлы brask.exe. в systme.32/driveres , так же system32/dllcache и beep.sys. Убил
    ключи реестра RUN в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
    удалил там всё к чертям собачим.
    После перезагрузки NOD32 уже не загрузился как и ctfmon.exe , чтоб было можно менять шрифты и драйвера к звуковухе и видюхе
    - сам виноват.
    Зато загрузились два процесса msword98.exe - явно вирус ; при заходе в интернет начали выскакивать процессы brastk.exe и bn6
    (который сжирал немеренно памяти), сейчас я их душу через диспетчер задач и они пропадают. UltimateDefender всё так же
    ломится через figaro.sys , который иницируются bn6.tmp или bn1c.tmp .
    Руками ничего делать не хотелось но, т.к. вирь пишится в beep.sys поставить Dr.Web Cure не получалось. Писало, что повреждены
    вирусные базы. Установил AntiTrojanElite, он не нашёл ничего, ещё раз мечом поубивал файлы .sys вируса. Прогнал Dr.Web Cure
    it - не нашёл ничего, более того прежде чем проверка закончилась компьютера сам перезагрузился.
    На компьютере есть хайджекс и авз, но я решил, что вирус пожрал и их. Судя по всему в bn6 - сидит какой-то троян даунлоудер,
    который весело инициирует мне работу UltimateDefender.A - это я уже выдумываю, чтоб себя дурака оправдать.
    Моим следующим действием (да я упрямый) была установка свеженького Kasperskiy Virus Removal Tool - прогнал им. Нашёл. Но не
    то что искал. Убил два вируса Trojan.Fakealert.3962 - не знаю что делал этот вирус. Но сегодня у меня ещё вылетали вот такие
    ошибки

    16-ти разрядная подсистема MS-DOS
    D:\windows\system32\wisdstr.exe
    Процессор NTVOM обнаружил недопустимую инструкцию
    CS:0531 IP:016b0OP:0F0FF1b014 - или что то в этом роде.

    Ошибки мелькали несколько раз, код кажется менялся. Я выбирал закрыть, а не пропустить. Не исключаю, что всё тот же
    UltimateDefender.A

    Кроме того Касперский убил ещё какой то вирус сидевший в какой-то удалялки программы. Не думаю, что он был активе.

    Так же симптомы болезни такие, что при установке Dr Web Cure it пропадает связь с сервером VPN, а иногда блокируется даже
    выход в локалку.
    Вобщем как-то так. Понимаю, что стоящий у меня AVZ скорее всего пожран. Поэтому воспользовался тем, который встроен в
    Kasperskiy Virus Removal Tool.
    Попробую прогнать сканирования отключив восстановление системы и через безопасный режим, выложу логи, если компьютер раньше
    не самоликвидируется.
    Пожалуйста помогите
    Вложения Вложения
    Последний раз редактировалось cjmef; 12.08.2009 в 06:14.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    добавлено то что зделано из безопасного режима.
    отключил восстановление системы. avz ничего не нашёл. выкладываю лог. убил msword.exe hijaks'ом вроде в безопасном режим, пофиксил.
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Вы занимаетесь самолечением, зачем? Задачу только усложняете.
    Почему логи (последние) делали в безопасном режиме?
    Нужен еще лог - virusinfo_syscheck.zip
    Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Обновите базы.
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('d:\windows\system32\winlogon.exe','');
     QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('D:\Documents and Settings\admin\msword98.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('fips32cup');
     DeleteFile('D:\Documents and Settings\admin\msword98.exe');
     DeleteFile('D:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('D:\WINDOWS\system32\regedit.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('fips32cup');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
    Сделайте новые логи по правилам в обычном режиме.

  5. #4
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    2 Defest
    потому что вот это вот процес BN*.tmp не хотел давать нормально работать в принципе. сейчас я по крайней мере могу относительно спокойно тут находится. он убивается из диспетчера задач. включается он при выходе в интернет. и загрузке антивируса. делает описанное в первом посте.
    другая причина самолечения - обычно справлялся. сейчас мозгов не хватает.

    в безопасном режиме сделал возможно потому что неправильно понял описание требования к выложенным логам. сделаю как вы сказали сообщу.

  6. #5
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    2 Defest
    базы обновил.
    выполнил скрипт. после перезагрузки включился Мастер нового оборудования и хотел установить драйвера для устройства под названием неизвестно %( . я предложил поискать ему на машине. в интернет ломится не дал.

    Высылаю логи. После выполнения сканирования со включенном инетом avz подвис.

    Про карантин я немного не понял, какие файлы туда добавить. Могу прислать файл из карантин'а Nod32. нужно? т.к. AVZ в упор ничего не видет и его карантин пуст. Это неудвитиельно т.к. по идеи вирус защищается от этого анитвируса, копируя себя в beep.sys.

    название вируса я написал UltimateDefender.A - на этом форуме с ним встречались как я понял.

    в самом конце так же удалил временные файлы. очистил папку windows/temp

    после перезагрузки и подключения к интернету все начинается заново. в реестре braviax.exe в /run пишится снова. могу прислать так же файлы bn*.tmp в карантине.

    благодарю за поддержку.
    Вложения Вложения
    Последний раз редактировалось cjmef; 12.08.2009 в 06:43.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    D:\WINDOWS\system32\Drivers\Ntfs.sys заменить по этой методике
    Пока не сделаете, лечиться ,бесполезно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    ok заменяю с сервис-пака, что посоветуете делать дальше?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от cjmef Посмотреть сообщение
    что посоветуете делать дальше?
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    после замены NTVS.sys удал braviax.exe, в том числе из реестра. очистил папки TEMP от bn*.tmp. удалил куки и временные файлы интернета.

    прогнал сканирование ESET NOD32 On-Demand Scanner - ничего не нашёл.

    сделал диагностику как описано в правилах. в этот раз процессы не возникали.

    свой NOD32, который сейчас установлен запускать не решаюсь. есть ощущение что его пожрали. выкладываю логи. скажите пожалуйста, что думаете об этом, т.к. перехваты к ntfs.sys AVZ определяет.
    Вложения Вложения
    Последний раз редактировалось cjmef; 12.08.2009 в 17:20.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
     DeleteFile('D:\WINDOWS\system32\regedit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи virusinfo_syscheck.zip и HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    выполнил скрипт.
    выслал карантин.
    сделал логи. выложил.
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Если в онлайн-покер играть любите, больше ничего плохого
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    8
    Вес репутации
    54
    покером болел, сейчас прошло.
    спасибо за поддержку.

    ещё надо было сделать следующее

    HKEY_CURRENT_USER\Software\Microsoft\InternetExplo rer\Main\"EnableBrowserExtensions" = "yes" изменить на "no"

    ещё этот вирус по идеи делает следующее:

    Модифицирует в реестре записи, ослабляющие защиту системы:


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCent er\"AntiVirusDisableNotify" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCent er\"FirewallDisableNotify" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCent er\"UpdatesDisableNotify" = "01000000"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCente r\"AntiVirusDisableNotify" = "01000000"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCente r\"FirewallDisableNotify" = "01000000"
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCente r\"UpdatesDisableNotify" = "01000000"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\EnableFirewall" = "00000000"



    Модифицирует в реестре настройки защиты доступа в интернет через Internet Explorer:


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1200" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1201" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1208" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1608" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1804" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"2500" = "03000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\1\"1200" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\1\"1201" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\1\"1208" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\1\"1608" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\1\"1804" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\1\"2500" = "03000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\2\"1200" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\2\"1201" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\2\"1208" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\2\"1608" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\2\"1804" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\2\"2500" = "03000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\3\"1200" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\3\"1201" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\3\"1208" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\3\"1608" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\3\"1804" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\3\"2500" = "03000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\4\"1200" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\4\"1201" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\4\"1208" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\4\"1608" = "00000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\4\"1804" = "01000000"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\4\"2500" = "03000000"

    как быть с этим? или там всё в порядке? в последнем например сейчас прописано 0X000000003(3)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от cjmef Посмотреть сообщение
    ещё этот вирус по идеи делает следующее:
    Модифицирует в реестре записи, ослабляющие защиту системы:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCent er\"AntiVirusDisableNotify" = "01000000"
    Это не совсем так, а точнее - совсем не так Эти записи касаются центра безопасности Виндовс - вещи в общем и целом бесполезной

    Модифицирует в реестре настройки защиты доступа в интернет через Internet Explorer:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\InternetSettings\Zones\0\"1200" = "00000000"
    как быть с этим? или там всё в порядке? в последнем например сейчас прописано 0X000000003(3)
    Дайте, плиз, ссылку на источник информации И сообщите, откуда Вы знаете, какие вирусы у Вас были?

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) cjmef, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 05.03.2011, 13:53
    2. маленький зоопарк
      От Чижъ в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.12.2009, 23:11
    3. Зоопарк
      От Alex_kaa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.03.2009, 12:44
    4. Зоопарк :)
      От NStorm в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 02:57
    5. Компьютер, возможно, заражен Трояном
      От Curl в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.03.2006, 22:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00192 seconds with 20 queries