-
Junior Member
- Вес репутации
- 53
Вот и я встретился с Sality
Подсунули мне ASUS-ик с печально знаменитым Sector17
...с останками NOD32.
Все ехе-шки запускаются только один раз. (ну или почти все)
Regedit, taskmanager и SafeBoot, как водится - в ауте
Смог содрать лог RSIT и Removal Tool
Помогает IceSword - реестр и файловая система доступны
Так можно ли грохнуть какой-то ключевой файлик, дабы "законтрацептить" эту штуку?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVPTool:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipswuio.sys','');
QuarantineFile('C:\DOCUME~1\antivir\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('C:\DOCUME~1\antivir\LOCALS~1\Temp\cpuz.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ilhnpm.sys','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\ilhnpm.sys');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(11);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Последний раз редактировалось rubin; 18.10.2009 в 12:19.
Причина: just quarantine before
-
-
Junior Member
- Вес репутации
- 53
За скрипт - спасибо!
Попробовать, к сожалению, смогу только в понедельник.
Если сработает полиморф AVZ! (Он должен сработать??? А то обычный ни с винта, ни с флэшки не идет)
А если esihdrv.sys "убить" IceSword`ом? Не вариант?
...и, ежели все-таки скриптом - нужен ли ExecuteRepair(10); ?
Последний раз редактировалось UmкA; 17.10.2009 в 19:44.
Причина: посетила мысль :)
-
а что, safe mode не работает ?
Если сработает полиморф AVZ! (Он должен сработать??? А то обычный ни с винта, ни с флэшки не идет)
Ну логи же вы сняли через Kaspersky® Virus Removal Tool, в нем можно и скрипт выполнить по идее, раз программа запускается...
А если esihdrv.sys "убить" IceSword`ом? Не вариант?
Желательно сначала попробовать скрипт, он должен взять копию зверя на будущее изучение
-
-
Junior Member
- Вес репутации
- 53
Код:
QuarantineFile('E:\tools\$TOOLS\SystemObserver.exe','');
это одна из альтернатив taskmgr
видится с CD-Drive
её и впрямь не любят антивирусы
Сейчас спрошу у вирустотал
Добавлено через 2 минуты
Невиновен!!! http://www.virustotal.com/ru/analisi...4ff-1255795319
Файл SystemObserver.exe
получен 2009.10.17 16:01:59 (UTC)
Загрузка ...в очереди
ожидание
проверка
Текущий статус: законченоНЕ НАЙДЕНО
ОСТАНОВЛЕНО
Результат:
0/41 (0%)
Последний раз редактировалось UmкA; 17.10.2009 в 20:06.
Причина: Добавлено
-
я видел, что это аналог taskmgr, на всякий случай проверил
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
rubin
а что, safe mode не работает ?
Regedit, taskmanager и SafeBoot, как водится - в ауте
Ну логи же вы сняли через Kaspersky® Virus Removal Tool, в нем можно и скрипт выполнить по идее, раз программа запускается...
А вот об этом - не подумал
Вроде как: для скриптов AVZ, а про VRT и не вспомнил
-
VRT - по функционалу аналогична AVZ
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
rubin
VRT - по функционалу аналогична AVZ
Упс!
Я считал эту утилитку сигнатурным одноразовым антивирусом, с добавленными функциями из АВЗ
Теперь - задумался....
то есть и AVZGuard, и AVZPM, и BC, - весь функционал подвязан??
-
VRT = AVZ + сигнатуры KAV
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
rubin
VRT = AVZ + сигнатуры KAV
-(минус) интерфейс:
все функции - только через скрипт
-
скрипт немного обновил, спасибо thyrex
-
-
Junior Member
- Вес репутации
- 53
А вот тут - не понял...
Код:
DeleteFile('C:\DOCUME~1\antivir\LOCALS~1\Temp\esihdrv.sys');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\ilhnpm.sys');
по логу abp470n5 - не запущен, но мы его останавливаем
тогда и 'esihdrv' нужно 'DeleteService'??? Или он не маскируется и так убъется??
PS: ни в коем разе не критика, а лишь желание понять...
За советы - огромное спасибо!
-
можно и esihdrv делать с deleteservice, можно было и без DeleteService('abp470n5'), т.к. executesysclean все равно зачистит службы... просто ткнул и кнопку удаления службы, невелика разница
-
-
Junior Member
- Вес репутации
- 53
Тогда последний вопрос, на сон грядущий...
про драйвер abp470n5 уже читал в сети - наш клиент - Sality`вский ,
а этот -
Код:
C:\DOCUME~1\antivir\LOCALS~1\Temp\esihdrv.sys
за личные знакомства?
или "гугленьем" вычислен?
то есть - понял - не фиг делать *.sys во временной папке ?
Последний раз редактировалось UmкA; 18.10.2009 в 00:16.
Причина: озарение
-
Junior Member
- Вес репутации
- 53
Ну чтож!
Спасибо огромное!
Похоже вот это:
Код:
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\ilhnpm.sys');
и есть "контрацептив" для Sality (конечно файлы могут быть разными. Например вот, с другой системы:
C:\WINDOWS\system32\drivers\konkpg.sys)
После этого скрипта все пошло проще....
тьфу-тьфу-тьфу...завтра поглядим!!!
Последний раз редактировалось UmкA; 19.10.2009 в 17:08.
-
На тему вот этого посмотри:
C:\WINDOWS\system32\csrsc.exe
F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
Они в логе RSIT засветились.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-