Win32/Alman.C RootKit vir! (nvmini.sys...)

Как вылечить систему от Win32/Alman.C - ???
У меня таких машинок несколько- симптомы одни и те-же.

система везде установлена WinXP-PRO SP2 и на двух машинка - WinXP-Home-SP2.
Конкретный подопытный - WinXP-PRO SP2.

эта тварь постоянно записывает два файла [B]\WinDir\system32\drivers\nvmini.sys[/B] и [B]\WinDir\linkinfo.dll[/B]

и не дает их удалить! (в Safe-mode - nvmini.sys удаляется, но после перезагрузки появляется снова)

Далее эта тварь заражает все EXE файлы на рассшаренных дисках в сети (увеличивая их размер) а также
при подключении USB-флешки записывает туда 2 файла. AUTORUN.INF и boot.exe (который при подключении к другой машине, сразуже устанавливает новое оборудование на уровне драйверов)

Она также прописала себя в реестр во многих местах.
----
[LIST][*][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NVMINI\0000][*][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NVMINI\0000][*][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nvmini][*][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nvmini\Security][*][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NVMINI][*][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NVMINI\0000][*][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI][*][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI\0000][/LIST]
(Для данной машинки если надо, то есть полный Ескпорт этих веток в ТХТ-файл)

[B]Теперь по поводу описанной методики проверки! [/B]

Выполнил все пункты с той только разницей, что невозможно было загрузиться в SAFE-MODE и выполнить DrWeb-CureIt- (его пришлось погнать в нормальном режиме) Машина при попытке загрузиться в безопасном режиме --- почти доходит до графического режима и вылетает с синим экраном на секунду, затем идет на перезагрузку.

Мои действия были следующими!
(Все проходило в нормальном режиме!!! не в безопасном)
1. Отключил все Антивири и все, что не обьязательно...
2. Отключил востановление Системы!
3. Запустил развернутый DrWeb (c CD!) с последним обновлением на предмет лечить и проверить все диски! Нашел кучу всего и либо вылечил либо удалил! (Лог Файл есть, если надо вышлю.)
4. Запустил DrWeb-CureIt. сохранил лог.
5. Запустил AVZ - (Как в пункте 8. инструкции)
6. Перезагрузился.
7. Выполнил пункт 10-инструкции.
8. Выполнил пункт 12 - инструкции.

после всех этих пунктов...(которые я проделал по инструкции) файлы [B]\WinDir\system32\drivers\nvmini.sys[/B] и [B]\WinDir\linkinfo.dll[/B]
исчезли - вродебы-??? (по крайней мере после 3-х перезагрузок, они не появились на своих местах и Total-Commander их нигде не нашел) но записи в реестре остались нетронутыми..
(это все на данной конкретной машинке)
вот теперь дошол до 14-го пункта инструкци и высылаю требуемые файлы!

(желательно найти решение подходящее для всех остальных машин с этими-же симтомами)

с ув. [I][B]Il@k[/B][/I].:?

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXPSP2\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINXPSP2\system32\ntdll.dll','');
QuarantineFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\WINXPSP2\system32\KDCOM.DLL','');
QuarantineFile('C:\WINXPSP2\system32\hal.dll','');
QuarantineFile('C:\WINXPSP2\system32\DRIVERS\CLASSPNP.SYS','');
QuarantineFile('C:\WINXPSP2\system32\BOOTVID.dll','');
QuarantineFile('C:\WINXPSP2\system32\winlib .dll','');
QuarantineFile('C:\WINXPSP2\system32\DC-CLO~1.SCR','');
QuarantineFile('C:\WINXPSP2\49400M.49400','');
QuarantineFile('C:\WINXPSP2\system32\drivers\acpidisk.sys','');
QuarantineFile('c:\program files\common files\error report\svdll.dll','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11176[/url]

насчёт nvmini.sys и linkinfo.dll- их копии запаковать в zip с паролем: virus
и также прислать по ссылке в шапке, быть может Олег или ещё кто-то напишут более корректное удаление всех следов , а не только удаление самих файлов.
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O20 - AppInit_DLLs: 49400M.49400
[/code]

Выполнил, все по указанным пунктам!
Карантин выслал, Указанную строку пофиксил!
Выслал по ссылке в шапке архив с содержимым еще двух архивов с вирями!

В архиве два варианта зараженных файлов с 2-х разных машинок,
так как на подопытном кролике еще после вчерашних базовых манипуляций пропали оба файла!
Сегодня искал файл nvmini.sys везде, на всех зараженных машинках,
он просто исчез со всех зараженных машин,
(толи он мутирует, толи как переименовал себя не знаю...) поэтому высылаю то, что удалось откопать в своей сети!
а это именно файлы linkinfo.dll которые на обеих машинках антивирусы распознали как ТРОЯН!
но называли их сосвсем по разному! На обеих машинках как и на подопытном, остались записи в реестре насчет nvmini!

Какаято еще другая гадость сидит в подопытном, периодически открывает IE-и вызывает какуюто КИТАЙСКУЮ страницу,
хотя в системе бровзером по Дефолту- указана Мозила!
Ссылку запомнить не удалось, но похоже, это было связано с той строчкой которую пофиксили...
так как счас уже 30 минут как не всплывает IE с этой страницей!

что дальше :? ... жду инструкций!

[size="1"][color="#666686"][B]Добавлено через 30 минут[/B][/color][/size]
Неа! Толькочто вспла IE-со страницей [url]hXXp://www.cydf.org.cn[/url]

Этот скрипт можно выполнить уже сейчас. Остальное, после анализа анaлитиков.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPSP2\49400M.49400');
DeleteFile('c:\program files\common files\error report\svdll.dll');
DeleteFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINXPSP2\system32\drivers\acpidisk.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
2.Пофиксить в HijackThis , если обьявилaсь конечно( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]

O20 - AppInit_DLLs: 49400M.49400
[/code]

описания вашей компании не нашёл, но один ворует пароли. Советую сменить, что ценное.
49400M.49400 =[url=http://www.viruslist.com/ru/search?VN=Trojan-PSW.Win32.Lmir.ays&referer=virusinfo.info]Trojan-PSW.Win32.Lmir.ays[/url]
svdll.dll =[url=http://www.viruslist.com/ru/search?VN=Trojan.Win32.Agent.adv&referer=virusinfo.info]Trojan.Win32.Agent.adv[/url]
[url=http://www.symantec.com/security_response/writeup.jsp?docid=2007-071505-5435-99]Trojan.Retvorp[/url]
однако, симантек удивил в лучшую сторону.
acpidisk.sys- вариант [url=http://66.102.9.104/search?q=cache:xhqpf8P_bacJ:www.trendmicro.com/vinfo/virusencyclo/default5.asp%3FVName%3DADW_CINMUS.EJ+Trojan:Win32/Cinmeng&hl=en&ct=clnk&cd=2&gl=il&client=firefox-a]похожей гадости[/url], тоже в топку.

После поФиксиння перезагрузился и проверил HijackThis
строка: O20 - AppInit_DLLs: 49400M.49400
не появилась!

[B]Cпасибо Огромное! [/B]
[I][B]Жду дальнейших команд![/B][/I]

Насчет паролей! Я уже приказал всем своим сменить пароли везде (как в сети, так и кто-куда лазит) Это было первое, что я сделал, как только обнаружил первый зараженный комп и прочитал, что это за гадость. !
С понедельника, кто у меня сам не сменил пароль, тот принудительно будет отстранен на пару дней от компа, а за не выполненую свою работу, будет отчитываться перед нашим генеральным директором. ;) ...

Но я так смотрю, что еще не одну тему придется открыть, прежде чем я смогу считать, что вычистил свою сетку как минимум на 99%. :?:P

Надо будет в конце этой темы составить какой-то общий алгоритм для проверки и лечения всех моих машинок, так как они наверное заражены очень похоже на друг-друга... тоесть то! что мы нашли на этой машине, с большой вероятностью присутствует и на других! (Они все почти открывают одни и теже документы с одной и тойже общей папки и запускают одни и теже приложения на сервере!).
И затем уже открывать темы только для тех машин, на которых при повторном анализе будут найдены подозрительные расхождения!

с ув. [B]Il@k.[/B]

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
Да! что значит:
[QUOTE]
описания вашей компании не нашёл,
[/QUOTE]
Где не нашел??? Если надо могу дать наши реквизиты для проверки! но в PM.

Я имел ввиду компанни "зверей" на компе ;-)
Насчёт уникального скрипта-боюсь не получиться. Под каждый комп придёться script подгонять, поэтому следует для каждого делать [B]новую[/B] тему. Но вы же админ, значит не должно составить труда подогнать самому. Если не заметили, я скрипт поправил в 21:07 ;) надо по новой выполнить, дабы удалить осатальную гадость.

Я прогнал последним тот который видел! а именно:
[QUOTE]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPSP2\49400M.49400');
DeleteFile('c:\program files\common files\error report\svdll.dll');
DeleteFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINXPSP2\system32\drivers\acpidisk.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[/QUOTE]
Так, что не знаю это тот подправленный или нет!

Зато с утра на одном из обьектов удалось поймать [B]nvmini.sys [/B]
что я и сделал и переслал как запрошенный файл (по ссылке в шапке) в архиве в месте с его linkinfo.dll -кой! -с того-же компа.
Надеюсь теперь ребятам удасться разобраться с логикой этой гадости! :P

с ув. [B][I]Il@k[/I][/B]

[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
Пардон! Кажется я понял.. это разница в часе! у меня отображается, что Вы редактировали последний раз в 20:07!
Но я кажется прогонял этот скрипт гораздо позже! Но на всяк случай счас прогоню еще раз!

[QUOTE=il@k;123769]Далее эта тварь заражает все EXE файлы на рассшаренных дисках в сети (увеличивая их размер) а также при подключении USB-флешки записывает туда 2 файла. AUTORUN.INF и boot.exe (который при подключении к другой машине, сразуже устанавливает новое оборудование на уровне драйверов)

Она также прописала себя в реестр во многих местах.

(Для данной машинки если надо, то есть полный Ескпорт этих веток в ТХТ-файл)
[/QUOTE]

Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.

[quote=RiC;124043]Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.[/quote]
Этот boot.exe файл я боюсь, что полностью удалил на всех флешках!
но в понедельник проверю еще флешки сотрудников! если у кого обнаружу, сразу вышлю! а зараженные файлы, счас упакую --- хоть целый Кг. и тудаже Ехпорт реестра, который я снимал для nvmini.
Ok! чере минут 30-40 вышлю.

[size="1"][color="#666686"][B]Добавлено через 58 минут[/B][/color][/size]
Выслал архив с зараженной прогой!
в архиве также TXT файл с инфой размера незараженного файла и
Экспорт реестра веток куда прописал себя NVMINI

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
Да!
DrWeb 4.33 распознает зараженные EXE файлы и корректно лечит их.
Остальные которые я пробовал, предлагают только блокировку или удаление! drweb распознает заразу как Trojan Win32/Alman

[size="1"][color="#666686"][B]Добавлено через 14 минут[/B][/color][/size]
Еще выслал парочку зараженных для надежности! там также есть ТХТ файл с размерами нормальных файлов!
Могу и сами чистые выслать, если надо!

[quote=RiC;124043]Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.[/quote]

Поймал Гада на одной из флешек сотрудников!
Там файл boot.exe отсутствует, но в место него присутствуют два других и autorun.inf
а также на одной флешке остался autorun.inf от boot.exe
В них есть интересные места, похожие на коды в машинных кодах, только
внедренные в текстовый файл как параметер для ini-переменной! поэтому высылаю и просто его, для анализа!
Я вложил архив с вирусами в другой архив, где просто этот autorun.inf файл.
Правда файлы .ехе находящиеся в архиве определяются совсем под другими именами!

Сориентируйте меня плииз! как обстоят дела с разбором полетев этой гадости!!! ???
Я не тороплю никого, просто хочу сориентироваться, когда ждать окончательного приговора с чисткой реестра!
Мне надо запланировать глобальную чистку машинок, а это связано с полным отключением их от сети!!!
И хотелось бы уже иметь метод чистки реестра от тех записей! а с суботы начиная на мои посты не было никаких реакций!

Спасибо за понимание!

Выслал архивчик по ссылке в Шапке!
Там сам [B]boot.exe[/B] и его [B]autorun.inf[/B]
сам архив называется Autorun_vir_boot.zip

Теперь уже эта гадость должна быть полностью на ладони!
Жду хоть какой-то Инфы!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\autorun.inf - [B]Worm.Win32.AutoRun.vcz[/B] (DrWEB: Win32.HLLW.Autoruner)[*] \\boot.exe - [B]Trojan-Dropper.Win32.Small.axz[/B] (DrWEB: Win32.Alman)[*] \\cardup.exe - [B]Virus.Win32.Alman.b[/B] (DrWEB: Win32.Alman.1)[*] c:\\program files\\common files\\error report\\svdll.dll - [B]Trojan.Win32.Agent.adv[/B] (DrWEB: Trojan.BhoWatcher)[*] \\cservice.exe - [B]Virus.Win32.Alman.b[/B] (DrWEB: Win32.Alman.1)[*] c:\\winxpsp2\\system32\\drivers\\acpidisk.sys - [B]HEUR:Trojan.Win32.Generic[/B][*] c:\\winxpsp2\\system32\\drivers\\mxdispdr.sys - [B]Trojan.Win32.Inject.co[/B] (DrWEB: Trojan.Inject.340)[*] c:\\winxpsp2\\49400m.49400 - [B]Trojan-GameThief.Win32.Lmir.ays[/B] (DrWEB: Trojan.PWS.Legmir.1183)[*] \\linkinfo.dll - [B]Trojan-Downloader.Win32.Agent.bsi[/B] (DrWEB: Win32.Alman)[*] \\monit32.exe - [B]Virus.Win32.Alman.b[/B] (DrWEB: Win32.Alman.1)[*] \\nvmini.sys - [B]Rootkit.Win32.Agent.ga[/B] (DrWEB: Win32.Alman)[*] \\regservc.exe - [B]Virus.Win32.Alman.b[/B] (DrWEB: Win32.Alman.1)[/LIST][/LIST]