Просьба разобраться с RESTORE_rundll.exe

Printable View

09.08.2009, 12:38
spitamen

Вложений: 1

Просьба разобраться с RESTORE_rundll.exe

Столкнулся с очень интересной ситуацией:
Дело в том что на рабочих компьютерах установлены KIS8 504, все было отлично до вчерашнего дня так как при загрузки комп загружает личные параметры обращаясь C:\RESTORE\k-1-3542-4232123213-7676767-8888886
после выдает ошибку explorer .. Интересен еще тот факт что антивир обновляется каждый день и базы в актуальном состояние.
а в корневом папке создалась скрытая папка RESTORE.
а в папке C:\RESTORE\k-1-3542-4232123213-7676767-8888886
есть 2 файла:
RunDll.exe объем которого составляет 47104 и второй Desktop.ini объем 62

Далее отключив на время запустил AVP Tool .. но он тоже в упор не видит этот вирус..

После скачал DRWEB CureIT ... этот сразу нашел сказал дайлел вирус потом при перезагрузки удалил удачно...
Но повседневной работе опять появляется эт вирус... так как интенсивная работа с флешками и есть локал сеть

НО в моем буке тоже есть КИС8 но он видит этот вирус и убивает так как проверил на флешки..
09.08.2009, 13:11
thyrex

Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Выполнить скрипт
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code]
Пришлите c:\quarantine.zip согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи с помощью AVZ и HiJack
09.08.2009, 14:45
spitamen

Я понял что она удаляется с помощью скрипта но я его с помощью DRWEB CureIT уже удалил в компе сейчас чисто....
Но меня интересует другое: не лечение этого вируса а проявления пассивности со стороны KIS7/8, почему они в лом не видят этот вирус???
09.08.2009, 15:02
thyrex

[B]Ни один[/B] разработчик антивирусных решений не дает [B]100%[/B] гарантии защиты
09.08.2009, 15:14
Rene-gad

[QUOTE=spitamen;445781]я его с помощью DRWEB CureIT уже удалил в компе сейчас чисто....[/QUOTE]8)
[QUOTE=thyrex;445721]
Сделайте новые логи с помощью AVZ и HiJack[/QUOTE]плиз...
16.09.2009, 16:58
spitamen

Всем Доброго сутка дня , извиняюсь что долго не отвечал срочно уехал в командировку...
Приехав сел за комп тоже зараженный вышеуказанным вирусом, где установлен каспер КИС9 с новыми базами но не видит вирус по адресу: C:\RESTORE\k-1-3542-4232123213-7676767-8888886
есть 2 файла:
RunDll.exe объем которого составляет 47104 и второй Desktop.ini объем 62

После снес КИС2009 и установил новый КИС 2010, после обновлении до сегодняшний дня проверил опять на наличие вируса и тут точно такая же история и КИС2010 в лом не видит его...

Согласно правилам отправляю новые логи

В сети 8 компов с одинковой операционной системой и прогами так как в одном настроив комп остальные все через образ акрониса были подняты..И что интересно такая проблема только в этих системах каспер как слепой а в других компах все ок он эт вир видит и при перезагрузке убивает
16.09.2009, 17:16
spitamen

[QUOTE=thyrex;445721]Выполните скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Выполнить скрипт
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code]
Пришлите c:\quarantine.zip согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи с помощью AVZ и HiJack[/QUOTE]

ОК, уже подготовил и отправил.... нужно ли опять новые логи сделать?
16.09.2009, 23:26
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');
DeleteFileMask('C:\RESTORE', '*.*', true);
DeleteDirectory('C:\RESTORE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.09.2009, 09:02
spitamen

[QUOTE='thyrex;469434']Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы[/QUOTE]

Но там уже нет этого файла так выше я уже выполнил скрипт, и сделав архив уже отправил тот файл через "Прислать запрошенный карантин"

Новые логи отправлю как только до работы дойду...

Вот тот вирь удалился но через какое то время опять заражается через флешки.. меня очень интересует почему его каспер не видит? хотя на других компах прекрасно видит и ловит...
В чем может быть реальная причина? и как в будущем сделать так чтоб он реагировал на эти вирусы?
18.09.2009, 11:57
spitamen

Вот новые логи после выполнения скрипта как было указано выше..
18.09.2009, 18:47
thyrex

Вот теперь следов в логах нет.
Более ничего подозрительного не увидел.
19.09.2009, 08:59
spitamen

[QUOTE='thyrex;470643']Вот теперь следов в логах нет.
Более ничего подозрительного не увидел. [/QUOTE]

:)) Это радует, но меня интересует другой вопрос... который остается без ответа: Пассивное действие каспера...
может в реестре что нибудь было изменено что мешало касперу видеть его как вирь?

Как быть с другими компами? на всех выполнить этот скрипт ? и после не пройдет ли вирь новый такого типа?

А что на счет отправленного файла??? в подписях файла написано что принадлежит UTOOLS...
20.09.2009, 00:01
AndreyKa

[QUOTE='spitamen;470891'] меня интересует другой вопрос... который остается без ответа: Пассивное действие каспера...
может в реестре что нибудь было изменено что мешало касперу видеть его как вирь?[/QUOTE]В базах его тогда не было вот и не видел. Теперь C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe добавили как Trojan.Win32.Buzus.caah.
[QUOTE='spitamen;470891']Как быть с другими компами?[/QUOTE] Базы автоматически должны обновиться.
21.09.2009, 00:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\restore\k-1-3542-4232123213-7676767-8888886\rundll.exe - [B]Trojan.Win32.Buzus.caah[/B] ( DrWEB: Dialer.Siggen.121, BitDefender: Win32.Worm.Slenfbot.CU, NOD32: Win32/Agent.OZI trojan, AVAST4: Win32:Delf-LXZ [Drp] )[/LIST][/LIST]