тандем из UltimateDefendera с Трояном Даунлоудером + зоопарк (возможно макросный вирус)

Printable View

12.08.2009, 02:07
cjmef

Вложений: 2

тандем из UltimateDefendera с Трояном Даунлоудером + зоопарк (возможно макросный вирус)

До сегодняшнего дня всё было спокойно. Стоял NOD32. Компьютер подключен в локальную сеть. Выход в интернет через VPN-сервер.
Nod возопил о том, что в файле D:\WINDOWS\system32\dllcache\figaro.sys пойман вирус, который лезит из файла
D:\windows\Temp\Bn(№каждый раз разный).tmp.
Файл был помещен в карантин. Это вирус UltimateDefender.A. Он создал процесс brastk.exe. Позже к нему присоединился процесс
braviax.exe.
Теперь я жалею, что не обратил внимания на дропер из .tmp. И вцепился в душение UltimateDefendera.A. Вирус проявился красным
крестиком рядом с часами. Где на английском было написано предложение скачать spyware-софт, т.к. компьютер заражён. С дуру
забыл, что винда русская и скачал... Что скачал не знаю, но видимо ещё пару вирусов: появлялось черное окошко DOS'овское.
Тогда разозлися мечом (IceSword122) порубил файлы brask.exe. в systme.32/driveres , так же system32/dllcache и beep.sys. Убил
ключи реестра RUN в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
удалил там всё к чертям собачим.
После перезагрузки NOD32 уже не загрузился как и ctfmon.exe , чтоб было можно менять шрифты и драйвера к звуковухе и видюхе
:( - сам виноват.
Зато загрузились два процесса msword98.exe - явно вирус ; при заходе в интернет начали выскакивать процессы brastk.exe и bn6
(который сжирал немеренно памяти), сейчас я их душу через диспетчер задач и они пропадают. UltimateDefender всё так же
ломится через figaro.sys , который иницируются bn6.tmp или bn1c.tmp .
Руками ничего делать не хотелось но, т.к. вирь пишится в beep.sys поставить Dr.Web Cure не получалось. Писало, что повреждены
вирусные базы. Установил AntiTrojanElite, он не нашёл ничего, ещё раз мечом поубивал файлы .sys вируса. Прогнал Dr.Web Cure
it - не нашёл ничего, более того прежде чем проверка закончилась компьютера сам перезагрузился.
На компьютере есть хайджекс и авз, но я решил, что вирус пожрал и их. Судя по всему в bn6 - сидит какой-то троян даунлоудер,
который весело инициирует мне работу UltimateDefender.A - это я уже выдумываю, чтоб себя дурака оправдать.
Моим следующим действием (да я упрямый) была установка свеженького Kasperskiy Virus Removal Tool - прогнал им. Нашёл. Но не
то что искал. Убил два вируса Trojan.Fakealert.3962 - не знаю что делал этот вирус. Но сегодня у меня ещё вылетали вот такие
ошибки

16-ти разрядная подсистема MS-DOS
D:\windows\system32\wisdstr.exe
Процессор NTVOM обнаружил недопустимую инструкцию
CS:0531 IP:016b0OP:0F0FF1b014 - или что то в этом роде.

Ошибки мелькали несколько раз, код кажется менялся. Я выбирал закрыть, а не пропустить. Не исключаю, что всё тот же
UltimateDefender.A

Кроме того Касперский убил ещё какой то вирус сидевший в какой-то удалялки программы. Не думаю, что он был активе.

Так же симптомы болезни такие, что при установке Dr Web Cure it пропадает связь с сервером VPN, а иногда блокируется даже
выход в локалку.
Вобщем как-то так. Понимаю, что стоящий у меня AVZ скорее всего пожран. Поэтому воспользовался тем, который встроен в
Kasperskiy Virus Removal Tool.
Попробую прогнать сканирования отключив восстановление системы и через безопасный режим, выложу логи, если компьютер раньше
не самоликвидируется.
Пожалуйста помогите
12.08.2009, 02:52
cjmef

Вложений: 2

добавлено то что зделано из безопасного режима.
отключил восстановление системы. avz ничего не нашёл. выкладываю лог. убил msword.exe hijaks'ом вроде в безопасном режим, пофиксил.
12.08.2009, 03:09
DefesT

Вы занимаетесь самолечением, зачем? Задачу только усложняете.
Почему логи (последние) делали в безопасном режиме?
Нужен еще лог - virusinfo_syscheck.zip
[QUOTE]Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]Обновите базы.
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('d:\windows\system32\winlogon.exe','');
QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
QuarantineFile('D:\Documents and Settings\admin\msword98.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
DeleteFile('D:\Documents and Settings\admin\msword98.exe');
DeleteFile('D:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('D:\WINDOWS\system32\regedit.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fips32cup');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам в обычном режиме.
12.08.2009, 04:12
cjmef

2 Defest
потому что вот это вот процес BN*.tmp не хотел давать нормально работать в принципе. сейчас я по крайней мере могу относительно спокойно тут находится. он убивается из диспетчера задач. включается он при выходе в интернет. и загрузке антивируса. делает описанное в первом посте.
другая причина самолечения - обычно справлялся. сейчас мозгов не хватает.

в безопасном режиме сделал возможно потому что неправильно понял описание требования к выложенным логам. сделаю как вы сказали сообщу.
12.08.2009, 05:21
cjmef

Вложений: 3

2 Defest
базы обновил.
выполнил скрипт. после перезагрузки включился Мастер нового оборудования и хотел установить драйвера для устройства под названием неизвестно %( . я предложил поискать ему на машине. в интернет ломится не дал.

Высылаю логи. После выполнения сканирования со включенном инетом avz подвис.

Про карантин я немного не понял, какие файлы туда добавить. Могу прислать файл из карантин'а Nod32. нужно? т.к. AVZ в упор ничего не видет и его карантин пуст. Это неудвитиельно т.к. по идеи вирус защищается от этого анитвируса, копируя себя в beep.sys.

название вируса я написал UltimateDefender.A - на этом форуме с ним встречались как я понял.

в самом конце так же удалил временные файлы. очистил папку windows/temp

после перезагрузки и подключения к интернету все начинается заново. в реестре braviax.exe в /run пишится снова. могу прислать так же файлы bn*.tmp в карантине.

благодарю за поддержку.
12.08.2009, 08:55
thyrex

[COLOR="Red"]D:\WINDOWS\system32\Drivers\Ntfs.sys[/COLOR] заменить [URL="http://virusinfo.info/showthread.php?t=51654"]по этой методике[/URL]
Пока не сделаете, лечиться ,бесполезно
12.08.2009, 15:51
cjmef

ok заменяю с сервис-пака, что посоветуете делать дальше?
12.08.2009, 16:19
Rene-gad

[QUOTE=cjmef;447580]что посоветуете делать дальше?[/QUOTE]Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
12.08.2009, 17:13
cjmef

Вложений: 3

после замены NTVS.sys удал braviax.exe, в том числе из реестра. очистил папки TEMP от bn*.tmp. удалил куки и временные файлы интернета.

прогнал сканирование ESET NOD32 On-Demand Scanner - ничего не нашёл.

сделал диагностику как описано в правилах. в этот раз процессы не возникали.

свой NOD32, который сейчас установлен запускать не решаюсь. есть ощущение что его пожрали. выкладываю логи. скажите пожалуйста, что думаете об этом, т.к. перехваты к ntfs.sys AVZ определяет.
12.08.2009, 20:02
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
DeleteFile('D:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи virusinfo_syscheck.zip и HiJack
12.08.2009, 20:31
cjmef

Вложений: 2

выполнил скрипт.
выслал карантин.
сделал логи. выложил.
12.08.2009, 20:50
thyrex

Если в онлайн-покер играть любите, больше ничего плохого
13.08.2009, 16:09
cjmef

покером болел, сейчас прошло.
спасибо за поддержку.

ещё надо было сделать следующее

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"EnableBrowserExtensions" = "yes" изменить на "no"

ещё этот вирус по идеи делает следующее:

Модифицирует в реестре записи, ослабляющие защиту системы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" = "01000000"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" = "01000000"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" = "01000000"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" = "01000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall" = "00000000"

Модифицирует в реестре настройки защиты доступа в интернет через Internet Explorer:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"1200" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"1201" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"1208" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"1608" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"1804" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"2500" = "03000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1\"1200" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1\"1201" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1\"1208" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1\"1608" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1\"1804" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1\"2500" = "03000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2\"1200" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2\"1201" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2\"1208" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2\"1608" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2\"1804" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2\"2500" = "03000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\"1200" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\"1201" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\"1208" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\"1608" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\"1804" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3\"2500" = "03000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4\"1200" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4\"1201" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4\"1208" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4\"1608" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4\"1804" = "01000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4\"2500" = "03000000"

как быть с этим? или там всё в порядке? в последнем например сейчас прописано 0X000000003(3)
13.08.2009, 19:24
Rene-gad

[QUOTE=cjmef;448096]
ещё этот вирус по идеи делает следующее:
Модифицирует в реестре записи, ослабляющие защиту системы:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" = "01000000" [/QUOTE]Это не совсем так, а точнее - совсем не так :D Эти записи касаются центра безопасности Виндовс - вещи в общем и целом бесполезной

[QUOTE]Модифицирует в реестре настройки защиты доступа в интернет через Internet Explorer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0\"1200" = "00000000"
как быть с этим? или там всё в порядке? в последнем например сейчас прописано 0X000000003(3)[/QUOTE]Дайте, плиз, ссылку на источник информации :) И сообщите, откуда Вы знаете, какие вирусы у Вас были?
14.08.2009, 19:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]