viklik, amvo, kvosoft...

Printable View

01.10.2008, 18:54
FKSrsfsr

Вложений: 3

viklik, amvo, kvosoft...

Вобщем банальная ситуация - знакомый с флэш-драйвом, на котором конечно же банальный авторан. Хоть я и перед открытием прогнал драйв через CureIt, всеравно каким-то образом подцепил заразу...
Сразу классически решил от этого избавиться: полез в безопасный режим на прогон системы через CureIt, не тут то было, компьютер вырубается без всякой причины в безопастном режиме через неопределенное количество времени (тупо выключается, ни BoS, ни рестарт, никаких ошибок), так что второй пункт правил в "Правилах", разделе "Подготовка" я конечно же не смог выполнить. Хотя думаю скорее проблема внезапного выключения содержится в железе или драйверах, нежели в каком-то вредоносном софте.
Еще как только подцепил заразу с флэш-драйва, резко возрасло потребление ОЗУ и съело даже всю виртуальную-озу. В авторан.ини прописалась заразка kvosoft.exe, скрытые файлы ушли из видимости, CureIt проверкой не из под безопастного режима нашел amvo, но не убил его. Файрволл Comodo стал запрещать любым приложениям выход в сеть. Вот вроде все...
01.10.2008, 19:32
PavelA

Все тут намного запущенней, я бы так сказал. Сейчас нарисую скрипт.

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\n.com','');
QuarantineFile('C:\autorun.inf','');
DelBHO('{09c79747-1e51-496a-b5fc-a060473f4afa}');
QuarantineFile('ideodim.dll','');
QuarantineFile('C:\WINDOWS\system32\svghost.exe','');
QuarantineFile('C:\WINDOWS\system32\lsasss.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\iatmunin.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
BC_DeleteSvc('Microsoft Inet Service');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\lsasss.exe');
DeleteFile('C:\WINDOWS\system32\svghost.exe');
DeleteFile('ideodim.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\n.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин через красную ссылку.

Сделать новые логи.
01.10.2008, 19:48
FKSrsfsr

хех, а вроде регулярно прогоняю CureIt'ом и Ad-aware...
Спасибо за помощь и скрипт, но в нём ошибка синтаксиса вот тут вроде:
BC_DeleteService('Microsoft Inet Service');Я с avz не дружу, потому не уверен в чем ошибка...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Ага, там BC_ лишнее, проверяю...
01.10.2008, 19:53
PavelA

Нет там все было с умыслом написано. Я поправил.

Куреит с Адваре не спасают по нашей статистике. Лучше плохенький но а/вирус со сканером.
01.10.2008, 20:13
FKSrsfsr

Пока вы исправляли, успел прогнать скрипт сам... Теперь и исправленный прогнал, карантин залил, сейчас логи состряпаю...
[QUOTE]Куреит с Адваре не спасают по нашей статистике. Лучше плохенький но а/вирус со сканером. [/QUOTE]
Почему бы им и не спасать, если стоит грамотный файрволл и к компьютеру не подключать всякие переносные носители информации с глупыми авторанами?
01.10.2008, 20:31
PavelA

Мой скрипт тому подтверждение. Веб-а/вирус, встроенный в норм. продукт, убил бы почти все это на подлете.
Да, Куреит надо обновлять каждый божий день, а а/вирус делает это сам.

Но это немного уже офф для этой темы.
01.10.2008, 20:51
FKSrsfsr

Вложений: 3

Комодо с интернетом нормально стали дружить, kvosoft.exe в авторан.ини прописываться перестал, это уже всё радует :)
Вот логи... Скрытые файлики все еще что-то держит за яйца...
01.10.2008, 21:05
FKSrsfsr

А не, вру, со скрытыми все впорядке, в реестре изменил значение и все нормально... Вроде ничего больше анормального не видно...

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

И чуть не забыл:
На момент начала проблем к компьютеру был подключен внешний жесткий диск, на нём наверняка теперь сидят авторанчики... Как можно их безопасно вырезать теперь?
01.10.2008, 21:14
Гриша

Отключить автозапуск со сменных устройств, подключить хард, проверить свежими базами*

*Если нет сигнатуры и файлы не удаляться, ни в коем случае не открывайте разделы харда двойным щелчком, удалите эти файлы используя проводник и ФМ...
01.10.2008, 21:48
FKSrsfsr

Хм.. подключил жесткий, авторанчики там имеются... Можно пожалуйста описать по-подробнее, как можно убить конкретный авторан, не запуская его, при этом используя возможности самого виндоус, а не чего-то стороннего... Заранее спасибо.
01.10.2008, 21:49
Гриша

Отключить автозапуск ( обязательно) ,открывать разделы правой кнопкой мыши "Проводник" и удалять...
01.10.2008, 22:03
FKSrsfsr

Вроде отключил авторан в реестре, попробую перегрузиться и сделать так, как вы сказали... надеюсь они и в правду не запустятся... ^_^

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Ок, я балбес, авторан всеравно сработал при открытии "правая мышь > проводник", делаю такой вывод, ибо скрытые файлики пропали... T_T
Мб я не так отключил авторан? Как это вобще правильно делается?
01.10.2008, 22:16
Гриша

Значит плохо отключили :( Делается это так [url]http://virusinfo.info/showthread.php?t=16459[/url]

Авторан не будет стартовать через правую кнопку "Проводник"
01.10.2008, 22:29
FKSrsfsr

Почти так же и отключал, только значение другое вводил... мда... Теперь придется заного все фиксить =( Завтра уже кину логи...
02.10.2008, 13:58
FKSrsfsr

Вложений: 3

Собственно вот логи, после успешного возвращения вирусяков...
Извините за мою глупость... :>
02.10.2008, 14:56
PavelA

Съемный жесткий был подключен когда логи делали? Если нет, то подключить и повторить логи.

Был бы норм. а/вирус не было бы у Вас таких проблем. ;)
02.10.2008, 19:06
FKSrsfsr

Вложений: 3

Вот с жестким подключенным... :?
02.10.2008, 21:03
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,
O15 - Trusted Zone: http://www.thaicybergames.com
O20 - Winlogon Notify: ideodim - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('iatmunin');
DeleteService('iatmunin');
QuarantineFile('svghost.exe','');
DelBHO('{CE7C3CF0-4B15-11D1-ABED-709549C10000}');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\tsearch.zip','');
QuarantineFile('C:\WINDOWS\system32\hgkjghg0.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\n.com','');
DeleteFile('C:\n.com');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\hgkjghg0.dll');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\tsearch.zip');
DeleteFile('svghost.exe');
DeleteFile('C:\WINDOWS\system32\svghost.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\iatmunin.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('iatmunin');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
22.02.2009, 08:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\n.com - [B]Trojan.Win32.Agent.aflb[/B] (DrWEB: Trojan.Nsanti.Packed)[*] c:\\windows\\system32\\svghost.exe - [B]Backdoor.Win32.Rbot.rue[/B] (DrWEB: BackDoor.IRC.Sdbot.3755)[/LIST][/LIST]