Самовосстанавливающееся вредоносное ПО

Printable View

04.08.2014, 12:23
blinkfrog

Вложений: 2

Самовосстанавливающееся вредоносное ПО

Здравствуйте!
Первоначальная жалоба пользователя была на рекламу, хотя я рекламу в процессе попыток лечения не видел.
В запущенных процессах, в реестре в автозапуске, а также в userinit стояла огромная куча всяких подозрительных файлов; после остановки процессов, удаления руками файлов и чистки реестра userinit остается стандартным, но автозапуск на глазах перезаполняется.
Также при запущенном Comodo Antivirus постоянно выскакивают запросы от программ calc.exe, notepad.exe на запуск подозрительных файлов.
Kaspersky Antiviral Tool, ResueDisk, DrWeb LiveCD находят несколько десятков файлов, удаляют, но после перезагрузки все постепенно восстанавливается.
Windows 8 64 bit, поэтому прикладываю два файла с логами.
04.08.2014, 12:25
Info_bot

Уважаемый(ая) [B]blinkfrog[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.08.2014, 12:33
regist

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
04.08.2014, 12:50
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Identities\viqam\viqam.exe','');
QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Identities\Zlhqhp.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\safpdndnn.exe','');
DeleteFile('C:\ProgramData\CreativeAudio\safpdndnn.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
DeleteFile('C:\Users\Lenovo\AppData\Roaming\Identities\Zlhqhp.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zlhqhp');
DeleteFile('C:\Users\Lenovo\AppData\Roaming\Identities\viqam\viqam.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
DeleteFile('C:\WINDOWS\system32\Tasks\Windows Update Check - 0x0E7302EC','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
04.08.2014, 13:30
blinkfrog

[QUOTE=regist;1144403][url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url][/QUOTE]
Сделал, но не могу прикрепить - выскакивает сообщение, что превышен лимит на форуме.
Вот ссылка на дропбокс:
[url]https://dl.dropboxusercontent.com/u/57065234/LENOVO-DA_2014-08-04_12-40-53.7z[/url]
04.08.2014, 13:38
thyrex

Написанное в сообщении №4 выполните
04.08.2014, 14:54
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.83 BETA 11 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

BREG
delall %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\IDENTITIES\VIQAM\VIQAM.EXE
delall %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\IDENTITIES\ZLHQHP.EXE
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\SAFPDNDNN.EXE
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\GTQADJQBE.EXE
restart[/CODE]

поищите файл CTDI.EXE если найдёте

Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
04.08.2014, 15:55
blinkfrog

Вложений: 3

[QUOTE=thyrex;1144416]Выполните скрипт в AVZ
Сделайте новые логи[/QUOTE]
Скрипт выполнил, но случайно запустил avz из сетевой папки, откуда делал локальную копию. В результате сетевое соединение отключилось, и карантин не создался. Простите.
Новые логи прилагаю. По внешним признакам - симптомы пропали, спасибо.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=regist;1144459][url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
поищите файл CTDI.EXE если найдёте
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url][/QUOTE]
Спасибо. Скрипт выполнил. Файл не нашел (искал стандартным поиском Windows и с помощью everything).
Лог MBAM прилагаю.
04.08.2014, 16:37
regist

Выполните скрипт в AVZ

[CODE]begin
ExecuteRepair(1);
ExecuteRepair(9);
RebootWindows(false);
end.
[/CODE]

Сделайте свежий лог MBAM, если снова будет найдена эта угроза, то удалите (поместите в карантин).
04.08.2014, 17:08
blinkfrog

Вложений: 1

[QUOTE=regist;1144490]Выполните скрипт в AVZ
Сделайте свежий лог MBAM, если снова будет найдена эта угроза, то удалите (поместите в карантин).[/QUOTE]
Спасибо, выполнил, MBAM нашел то же, поместил в карантин.
04.08.2014, 17:48
regist

MBAM деинсталируйте

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
05.08.2014, 08:49
blinkfrog

[QUOTE=regist;1144515]MBAM деинсталируйте
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url][/QUOTE]
Спасибо, все выполнил, уязвимостей не найдено.