Очередной браузер-вирус

Printable View

26.07.2010, 02:21
s1lver

Очередной браузер-вирус

1) заразился, понял по огромному списку появившися статических марштутов
2) route -f, disable-enable адаптер
3) исправил userinit в реестре, удалил вирусные файлы в system32, куда были ссылки
4) однако в userinit снова произошли изменения
5) через process monitor (бывший regmon от sysinternals) выяснил, что изменения вносит процесс services.exe, а именно какойто трейд внутри него
6) в process explorer нашел этот трейд, однако в нем не увидел какой-либо полезной информации, просто убил его
7) после ребута всё ОК. собрал логи, посмотрите пожалуйста, не осталось ли чего.
Спасибо.
26.07.2010, 04:32
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\Yuuguu\yuuguu.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dtscsi.sys','');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\ddd.m3u','');
QuarantineFile('C:\temp\jna11507.tmp','');
DeleteFile('C:\temp\jna11507.tmp');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
27.07.2010, 10:46
s1lver

[B]polword[/B],
Спасибо за ответ!
yuuguu обязательно карантинить? Это известная мне программа, сам ставил, для удаленного доступа через https.
27.07.2010, 10:52
thyrex

Ничего страшного от ее карантина не случится :)
28.07.2010, 02:03
s1lver

Карантин загрузил!
Логи прикладываю!
28.07.2010, 07:10
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile(' C:\WINDOWS\system32\fjhdyfhsn.bat','');
QuarantineFile('C:\WINDOWS\system32\WaX4z6Z.exe','');
QuarantineFile('C:\WINDOWS\system32\EJ0I9SI.exe','');
QuarantineFile('C:\WINDOWS\system32\CdMWtbp.exe','');
QuarantineFile('C:\WINDOWS\system32\bd4fade7.exe','');
DeleteFile(' C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\WINDOWS\system32\WaX4z6Z.exe');
DeleteFile('C:\WINDOWS\system32\EJ0I9SI.exe');
DeleteFile('C:\WINDOWS\system32\CdMWtbp.exe');
DeleteFile('C:\WINDOWS\system32\bd4fade7.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог RSIT
29.07.2010, 11:41
s1lver

Карантин прислал.
Логи прикладываю.
29.07.2010, 12:44
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] в безопасном режиме
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Dmitry\Start Menu\Programs\Startup\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Dmitry\Start Menu\Programs\Startup\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи virusinfo_syscheck.zip и RSIT
29.07.2010, 14:05
s1lver

Карантин прислал.
Логи прикладываю.
29.07.2010, 14:13
polword

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
29.07.2010, 14:36
s1lver

Всё ОК. Спасибо!
30.07.2010, 14:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\dmitry\start menu\programs\startup\monoca32.exe - [B]Packed.Win32.Krap.ao[/B] ( DrWEB: Trojan.MulDrop1.40618, BitDefender: Gen:Trojan.Heur.FU.bC0@a0fwHpdi, AVAST4: Win32:Crypt-HCS [Drp] )[*] c:\windows\system32\bd4fade7.exe - [B]Trojan.Win32.Scar.cmdd[/B] ( DrWEB: Trojan.Packed.20488, BitDefender: Gen:Trojan.Heur.FU.dq0@ayNbqEfi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\cdmwtbp.exe - [B]Backdoor.Win32.Shiz.jk[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aGQxcPbi )[*] c:\windows\system32\ej0i9si.exe - [B]Backdoor.Win32.Shiz.jh[/B] ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Backdoor.Generic.406997 )[*] c:\windows\system32\fjhdyfhsn.bat - [B]Trojan.BAT.Agent.vf[/B] ( DrWEB: BAT.KillFiles.33, BitDefender: Trojan.BAT.KillWin.VW, NOD32: BAT/KillFiles.NCB trojan, AVAST4: VBS:Malware-gen )[*] c:\windows\system32\wax4z6z.exe - [B]Backdoor.Win32.Shiz.jh[/B] ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Backdoor.Generic.406997 )[/LIST][/LIST]