Вирус

Printable View

29.06.2010, 14:25
oleg_v_

Вирус

Вирус «тормозит» загрузку интернет страниц(решается перезагрузкой), модифицирует ctfmon и отключает русскую раскладку, добавляет чего-то в автозагрузку в том числе запускает при входе в widows msconfig, постоянно дописывает чего-то в корзины на дисках(если я удаляю в ручную) и system32, постоянно сбрасывает галку «показывать скрытые и системные файлы», на некоторых папках во вкладке безопасность какой-то левый пользователь с длинным именем похожим на название файла(что-то вроде S-1-5-21-0741203276-5174745523-898393899-9038), который периодически создается в корзине, вырубает AVZ, HijackThis, ProcessExplorer(решается переименование фалов), создает на флешке autorun и еще какую-то папку. Полная проверка Symantec в безопасном режиме ничего не дала, пару раз Symantec отлавливал вот это:
[B]Discovered: [/B]September 29, 2009
[B]Updated: [/B]September 30, 2009 8:32:32 AM
[B]Also Known As: [/B]W32/Autorun.worm!a758e0e7 [McAfee], W32/Rimecud [McAfee], W32/Autorun-AUP [Sophos], ButterflyBot.A [Panda Software]
[B]Type: [/B]Worm
[B]Infection Length: [/B]109,056 bytes
[B]Systems Affected: [/B]Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
When executed, the worm copies itself as the following file:
%SystemDrive%\RECYCLER\[SID]\sysdate.exe

It also creates the following file:
%SystemDrive%\RECYCLER\[SID]\Desktop.ini

[B]Note:[/B] [SID] is a Security Identifier (SID) similar to the following example:
S-1-5-21-0741203276-5174745523-898393899-9038

It then creates the following registry entry so that it runs every time Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Taskman" = "%SystemDrive%\RECYCLER\[SID]\sysdate.exe"

Dr web cure it ничего не нашел, но правда в обычном режиме. Да еще вирус правил файл hosts пока не задал атрибут только чтение.
29.06.2010, 14:41
DefesT

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmpxt1.exe');
QuarantineFile('C:\Feast\Ival\Feast.exe','');
QuarantineFile('C:\GraviTy\V-6-7-22-333333EEEE-444444444444-88888888888-220\Trx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\naecd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\hsipcidr.sys','');
QuarantineFile('c:\windows\system32\wmpxt1.exe','');
DelCLSID('67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521');
DelCLSID('67KLN5K0-4OPM-00WE-AAX8-17EF1D187263');
DeleteService('naecd');
DeleteFile('c:\windows\system32\wmpxt1.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\naecd.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
DeleteFile('C:\GraviTy\V-6-7-22-333333EEEE-444444444444-88888888888-220\Trx.exe');
DeleteFile('C:\Feast\Ival\Feast.exe');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
29.06.2010, 15:37
oleg_v_

Когда сохранял из браузера код скрипта, заметил такую вещь, если открывать текстовой файл блокнотом, то windows сначала выдает сообщение, что такой не может найти файл с таким путем, а затем все равно открывает, если открывать тот же файл, например, c помощью ultraedit, то такого сообщения не появляется.
29.06.2010, 16:06
DefesT

Больше зловредного не вижу.
Очистите временные папки интернета.
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
Рекомендуется установить [B]Service Pack 3[/B] с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до [B]8[/B] версии, даже, если Вы не используете его, как браузер.
29.06.2010, 16:29
oleg_v_

Огромное спасибо!!!
30.06.2010, 12:01
oleg_v_

Снова проявился вирус. Symantec ругнулся, удалил файл с расширением jpg и сказал что для полного удаления нужно перегрузиться, перегрузился. Вирус отключил русскую раскладку, но symantec ее восстановил, правда, без языковой панели. Вирус отключил видимость скрытых файлов и папок, в корзине опять лежит диспетчер задач для подмены, в temp windows появился файл tmp1.exe, в system32 исполняемые файлы, похожие на те, что вчера удаляли скриптом.(wmpx.exe - как-то так, точно сказать не могу т.к. после перезагрузки из-за symantec, они исчезли)
30.06.2010, 12:11
polword

[QUOTE=oleg_v_;663064]Снова проявился вирус.[/QUOTE]
так Вам же написали что сделать
[QUOTE=DefesT;662616]Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.[/QUOTE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\System32\drivers\pxrts.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
TerminateProcessByName('c:\windows\system32\wmpxt1.exe');
DeleteFile('c:\windows\system32\wmpxt1.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
30.06.2010, 13:51
oleg_v_

Логи
30.06.2010, 14:05
DefesT

Плохого не видно. Обновляйте систему, а то опять заразу схватите!
01.07.2010, 14:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\eomemmk7\2j[1].zip - [B]Packed.Win32.Krap.hf[/B] ( DrWEB: BackDoor.IRC.Bot.504 )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\gr0g5z16\ed[1].zip - [B]Packed.Win32.Krap.hf[/B][*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\dp[1].zip - [B]Packed.Win32.Krap.hf[/B][*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\h7[1].zip - [B]Packed.Win32.Krap.hf[/B] ( DrWEB: BackDoor.IRC.Bot.504 )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\kd[1].zip - [B]Packed.Win32.Krap.hf[/B] ( DrWEB: Win32.HLLW.Lime.8 )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\debug[1].zip - [B]Packed.Win32.Krap.hf[/B] ( BitDefender: Trojan.Generic.KD.17840 )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\jp[1].zip - [B]Packed.Win32.Krap.hf[/B] ( DrWEB: BackDoor.IRC.Bot.503, BitDefender: Trojan.Generic.KD.17438, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\qt[1].zip - [B]Packed.Win32.Krap.hf[/B] ( DrWEB: BackDoor.IRC.Bot.503, BitDefender: Trojan.Generic.KD.17438, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1451\games.exe - [B]Trojan.Win32.Buzus.eozn[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Agent.APXW, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\wmpxt1.exe - [B]Packed.Win32.Krap.hf[/B][/LIST][/LIST]