Странное поведение вируса...

Printable View

04.04.2010, 12:05
SysF

Странное поведение вируса...

Два часа назад поймал СМС-вирус...
Поведение: СМС баннер, какое-то бешенное кол-во постоянно открывающихся процессов командной строки (смотрел в ProcessExplorer), проблема запуска explorer'а, открытие Моих документов при загрузке, появление баннера только после ручного запуска explorer'а, самоликвидация(?).
В итоге открыл Автозагрузку через CCleaner, нашел путь [I]C:\Windows\systems.exe[/I], снял загрузку, отправил систему на ребут...
После ребута explorer не загрузился, вылетели Мои документы, загрузил вручную оболочку, баннера нет, пути к загрузке .exe файла тоже, и файл из системной папки пропал, оказались включены все пути Автозагрузки, пропал .exe файл Оперы.
Поиск по системному диску был успешным, файл systems.exe я нашел в папке пользователей. Там же рядом обнаружил файл Оперы.
Проверка обоих файлов на virustotal показала, что файл Оперы чист, найденный файл вируса показал следущее:
[URL="http://www.virustotal.com/ru/analisis/99e0aafdfe8b089d68a2d16590dbbdeaa0f5fb19915960a70b99365b6bf64d9e-1270365735"]http://www.virustotal.com/ru/analisis/99e0aafdfe8b089d68a2d16590dbbdeaa0f5fb19915960a70b99365b6bf64d9e-1270365735[/URL]
Проверил файл на сайте Касперского, ноль.
Сижу на Windows Seven Ultimate build 7260, под Администратором, стоит NOD32(бызы сегодняшние), дефендеры и защиты диска выкл, но AVZ, после начала скана, на втором этапе, при проверке памяти вылетает... :( (Как под Семеркой то нормально завести его?)
В данный момент проверяю вчерашним CureIt'ом, нашло пока только вирус [B]Trojan.Oficla.38[/B] в темпе Application Data администратора (он не он? :>).
Файл упаковал в архив [B]smsvirus.zip[/B] с пассом и отправил.
04.04.2010, 12:38
thyrex

Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]
04.04.2010, 13:59
SysF

Как просили )
04.04.2010, 14:07
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: Shell=%windir%\Explorer.exe
F2 - REG:system.ini: UserInit=\WINDOWS\system32\userinit.exe,[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\Metasploit\Framework3\msf3\data\templates\template.exe','');
QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\rl4Ko4q4.sys','');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\rl4Ko4q4.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
04.04.2010, 14:49
SysF

Пофиксил.
Скрипт не доработал... AVZ вылетел с ошибкой... :( Ребута небыло... (((
[URL=http://xmages.net/upload/49109561.jpg][IMG]http://xmages.net/thumb/thumb_49109561.jpg[/IMG][/URL]
Новые логи пока не делал...
Выслал запрошенный лог [B]virus.zip[/B]
04.04.2010, 14:57
thyrex

В Vista (Windows 7) при выполнении скрипта и создании логов AVZ [u]запускать от имени Администратора[/u] по [b]правой кнопке[/b] мыши

Антивирус отключали?
04.04.2010, 15:00
SysF

Антивирус выключил, работаю под главным Администратором, ничего не изменилось, AVZ вылетает на том же месте... (
Перезагрузился вручную... попробовал еще раз, та же история...
04.04.2010, 20:14
thyrex

Попробуйте убрать из скрипта строку
[CODE]SearchRootkit(true, true);[/CODE]
05.04.2010, 00:37
SysF

Все, без антируткита AVZ отработал нормально! ;)
Вот новые логи
05.04.2010, 07:14
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Metasploit\Framework3\msf3\data\templates\template.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
05.04.2010, 13:30
SysF

Скрипт выполнил.
Прикладываю лог...
05.04.2010, 14:58
thyrex

Пофиксите в Hijack
[CODE]O20 - AppInit_DLLs: [/CODE]Больше плохого не видно. Что с проблемой?
05.04.2010, 17:19
SysF

Пофиксил! )
Так вроде все тихо, только сегодня странно отказал поиск Google в Опере со строки в Экспресс панели (напомню, вирус перенес файл [B]Opera.exe[/B] вместе с собой), но так потыкал разные поисковики туда-обратно в настройках, вроде отпустило, возможно лаг самой Оперы...
Вобщем все нормально! :dance2:
Спасибо всем за помощь! :drinks:
[I][COLOR="Silver"]Тему можно закрывать. )[/COLOR][/I]
06.04.2010, 17:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \systems.exe - [B]Trojan-Ransom.Win32.PinkBlocker.ajj[/B] ( DrWEB: Trojan.Winlock.1270, BitDefender: Trojan.Generic.3639040, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]