Зараженный комп

Printable View

20.01.2010, 08:59
Whale

Зараженный комп

Уфффф... Перефразировав поговорку, пришел к выводу, что буду учиться на примерах... "Тяжело и неказисто обучение в программе :O"

Итак. Имеется комп - явно зараженный... Вирус скрывает папки на внешних носителях и вместо них создает *.exe

Снял логи - попытался проанализировать сам... - часть понял, но решил посмотреть, что скажут действующие специалисты...

З.Ы. прям стесняюсь спросить... А можно скрипты с комментариями получить? :>

Анализирую логи самостоятельно.... нашел вирусный файл (2 штуки ;))...
Даже попытался сам написать скрипт... Хочется его сравнить со скриптом знатока...
20.01.2010, 11:37
Rene-gad

Здравствуйте,
[QUOTE=Whale;565377]
Даже попытался сам написать скрипт... [/QUOTE]Не вздумайте его запускать. Если чешутся руки - переустановите ОС.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('%SystemRoot%\System32\syssetub.dll','');
QuarantineFile('msfir80.exe','');
DeleteFile('msfir80.exe');
DeleteFile('C:\WINDOWS\system32\msfir80.exe');
QuarantineFile('msime80.exe','');
DeleteFile('msime80.exe');
DeleteFile('C:\WINDOWS\system32\msime80.exe');
DeleteFile('%SystemRoot%\System32\syssetub.dll');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- [COLOR="Red"]Если у Вас появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
- [URL="http://virusinfo.info/upload_virus.php?tid=67909"]Закачайте файл ..\avz\quarantine.zip[/URL] для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
20.01.2010, 21:54
Whale

[QUOTE=Rene-gad;565423]Не вздумайте его запускать. Если чешутся руки - переустановите ОС.[/QUOTE]

Нет Нет!!

Я на сегодняшний день прохожу обучение в соответствующем разделе и уже стал разбираться в некоторых тонкостях системы. Именно поэтому и решился на самостоятельное написание скриптов. Естественно осознаю к чему это может привести...
Именно поэтому и стал просить помощи именно знатоков, а не полагаться лишь на себя!

Кстати, мой скрипт отличается от вашего приблизительно на 30% - как раз этих %% в моем не хватает :) но структура верна ;)

Сейчас буду ваш анализировать и сопоставлять.

Спасибо!!!

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 28 минут[/I][/B][/color][/size]

Файл сохранён как 100120_215336_quarantine_4b575130f1c6f.zip
Размер файла 461217
MD5 b648814ef1c9b32ffc34b7dabf9c84ec

Логи позднее - делаются...
20.01.2010, 22:20
Whale

Вложений: 1

Ну вот и логи подоспели...

Да, кстати, устройство появилось... - удалил.

Посмотрите плз. И я сам посмотрю... - должен же я учиться ;) - я же хочу!

При попытке воткнуть в аппарат флешку - на ней тут же появляется [B]Авторан.инф[/B] и [B]папка Рециклед[/B], которые легко убиваются в тоталкоммандере по Shift+Del
21.01.2010, 11:10
Whale

Тук, товарищи....

проконсультируйте :)

анализирую самостоятельно, но что-то квалификации видимо уже не хватает :(
21.01.2010, 11:53
Bratez

У вас живой кидо. И неудивительно, ибо:
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gnbpbgl.dll','');
DeleteFile('C:\WINDOWS\system32\gnbpbgl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=67909[/url]).

Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
21.01.2010, 14:19
Whale

То, что тут Кидо - это я просек :)
а как вы точно узнали, что это именно эта dll?
Я увидел упоминание о ней лишь единожды в логах. как понять, что именно эта библиотека повинна?
Я просканировал лог парсером - а указания на эту длл, как на враждебную - просто НЕТ :(
21.01.2010, 19:30
Whale

Итак. все сделал

Файл сохранён как 100121_192906_virus_4b5880d22ac46.zip
Размер файла 162691
MD5 a53d34e74c1d0a562fbb08f9d6884274

Лог Gmer.log прилагаю. Там явно какая то зараза сидит...
21.01.2010, 23:34
Whale

Обновил WXP до СП3. Обновил Акробат до 9.3

Подозрительного ничего пока не происходит.

Может еще какой лог снять? И что с gmer делать?
22.01.2010, 02:09
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gnbpbgl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vckmb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\vckmb');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
22.01.2010, 07:41
Whale

Сделал новые логи.
Комп стал грузиться быстрее.
22.01.2010, 14:32
Bratez

Чисто.
Проблем больше нет?
22.01.2010, 21:41
Whale

Тема закрыта!

[QUOTE=Bratez;567396]Чисто.
Проблем больше нет?[/QUOTE]

Да. комп работоспособен. Никаких симптомов нет.

Спасибо!!!

Тема закрыта!
23.01.2010, 21:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\csrcs.exe - [B]Packed.Win32.Klone.bj[/B] ( DrWEB: Win32.HLLW.Siggen.73, BitDefender: Gen:Trojan.Heur.AutoIT.DmNfbyereqlm, AVAST4: Win32:Crypt-FER [Trj] )[*] c:\windows\system32\gnbpbgl.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )[*] e:\autorun.inf - [B]Net-Worm.Win32.Kido.ir[/B] ( BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )[/LIST][/LIST]