BackDoor.Kais

Притащил на флэшке BackDoor.Kais

Когда открываю диски левым кликом Outpost тут же блокирует попытку закрыть себя процессом LSASS.EXE. Проверка дрвэбом показывает BackDoor.Kais Друзья сказали, что от меня пришло письмо с фотками порнухи. Друзья-то довольны, а вот я - нет.

Что делать?

С уважением,

Сергеич

Обновить версию AVZ надо. Текущая 4.27

regedit.exe не открывается... Не удалось, говорит, найти. Хотя вот он, в винде лежит...

[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]

[QUOTE=PavelA;150952]Обновить версию AVZ надо. Текущая 4.27[/QUOTE]

Щаз сделаем.

1. Скачайте свежую версию AVZ - 4.27, обновите ей базы и сделайте логи заново.
2. Поищите через AVZ: Сервис - Поиск файлов... такой файл: [b]setuprs1.PIF[/b].
Пришлите его по правилам. Также интересует файл [b]inter.exe[/b], если не знаете что это такое, пришлите и его.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Выполните в AVZ: Файл - Восстановление системы - п.9 - Выполнить. После этого попробуйте редактор реестра.

Скачал AVZ - 4.27 Жму на "стандартные скрипты" - открывается пустое окно скриптов.

inter.exe - это служебный чат

[QUOTE]Выполните в AVZ: Файл - Восстановление системы - п.9 - Выполнить. После этого попробуйте редактор реестра.[/QUOTE] Ага, заработало!

[QUOTE]1. Скачайте свежую версию AVZ - 4.27, обновите ей базы и сделайте логи заново.[/QUOTE] Сделал!

[QUOTE]2. Поищите через AVZ: Сервис - Поиск файлов... такой файл: setuprs1.PIF[/QUOTE] Не найдено.

Куда двигаться дальше? Готов к труду и обороне! :):):)

С уважением,

Сергеич

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\INTER\inter.exe','');
BC_ImportQuarantineList;
ExecuteRepair(9);
BC_QrSvc('MicrosoftHelp');
BC_QrSvc('kkdc');
BC_DeleteSvc('MicrosoftHelp');
BC_DeleteSvc('kkdc');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Усё сделал!

Жду дальнейших указаний!

G:\INTER\inter.exe - чистый ... больше ничего в карантин не попало ...
повторите логи ....

[QUOTE]повторите логи ....[/QUOTE] Готово!

На флэшке и логических дисках остались какие-то загадочные папки с названием [B]runauto..[/B] Хотел потереть - недаёт зараззза... >:(

И куча папок с именами от FOUND.000 до FOUND.007

Папки FOUND.000 до FOUND.007 это от chkdsk. Можно их поудалять.
Для борьбы с runauto.. напишу совет ниже.

Поправленное от [url]http://zlava.livejournal.com/232202.html[/url] THK p2u за ссылку.
Выполнять аккуратно!!!!
[QUOTE]
1. уходим в безопасный режим.
При помощи Far/total commander
2. убиваем всю сволочь. то есть:
2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…
2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…

3. чистим реестр (я взял утилиту RegWorks), удаляя:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe

этта херня, прадва, удаляться не захотела:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet001\Services\kkdc
HKLM\SYSTEM\ControlSet002\Services\kkdc
HKLM\SYSTEM\ControlSet003\Services\kkdc
HKLM\SYSTEM\CurrentControlSet\Services\kkdc

скрипт велит удалять, но у меня такого не было:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST

заменяем:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
на
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).

заодно запрещаем на будущее автозапуск всяких дисков, флешек и прочего:
в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
создаем два параметра:
NoDriveTypeAutoRun, формат reg_dword, значение 000000ff (шестнадцатиричное);
NoDriveAutoRun, формат reg_dword, значение 03ffffff (шестнадцатиричное).

4. проверяем, ничего ли мы не забыли и у всех ли все есть, и перезагружаемся в нормальный режим.

так-то вот. msconfig.exe у меня ожила. а cmd.exe стало иметь тот вид, который надо ей иметь (то есть вроде никто не перехватывает). с чем всех и поздравляю. надо, наверное, написать-таки BAT… на будущее… м-да…

с перерывами угрохал часов семь. жуть какая.[/QUOTE]

Если возникнут сложности, будем писать скрипт для удаления этой всей гадости.

[QUOTE]2. убиваем всю сволочь. то есть:
2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…[/QUOTE] Сделал.

[QUOTE]2. убиваем всю сволочь. то есть:
...
2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…[/QUOTE] Я правильно понял, что эти файлы бить не надо?

[QUOTE]3. чистим реестр (я взял утилиту RegWorks), удаляя:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List — параметр C:\WINDOWS\lsass.exe
[/QUOTE] Сделал.

[QUOTE]этта херня, прадва, удаляться не захотела:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKD C
HKLM\SYSTEM\ControlSet001\Services\kkdc
HKLM\SYSTEM\ControlSet002\Services\kkdc
HKLM\SYSTEM\ControlSet003\Services\kkdc
HKLM\SYSTEM\CurrentControlSet\Services\kkdc

скрипт велит удалять, но у меня такого не было:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST[/QUOTE] У меня тоже.

[QUOTE]заменяем:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
на
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).[/QUOTE] Такой фигни у меня ныбыло. Параметр CheckedValue в порядке.

Ещё что то сделать? Папка [B]runauto..[/B] так и не удаляется.

[QUOTE=Сергеич;152118]Сделал.

Я правильно понял, что эти файлы бить не надо?
[QUOTE]2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe… [/QUOTE]


[/QUOTE]

их как раз надо убивать. Все, что найдется. С первого раза не всегда удается задавить гада до конца. Так что будь готов к повторению всех шагов.

[QUOTE]их как раз надо убивать. Все, что найдется. С первого раза не всегда удается задавить гада до конца. Так что будь готов к повторению всех шагов.[/QUOTE] Искал поиском винды и AVZ. Ничего не нашёл.

Папку runauto.. откуда удалял? Она хитрая, просто из проводника удаляться не будет.

Да не удаляется она... >:(

hiren boot Cd надо сделать. С него загрузиться и удалять эту всю гадость.
Можно еще Bart Pe использовать.

[quote=Сергеич;152133]Да не удаляется она... >:([/quote] [URL]http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe[/URL]

Установить. Правой кнопкой мыши на папку щёлкать и выбрать 'Unlocker'. Потом выбрать 'Delete'.

P.S.: Про 'CheckedValue'... Вы говорите, что 'параметр в порядке'. Как вы это определили? Я, например, не думаю, что он в порядке. Поэтому AVZ и никаких авторан не находит. Замените как указано: [quote]заменяем: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное). [/quote] Потом надо задать Windows, чтобы она показала все скрытие и системные файлы. Пока вы не удаляете авторан везде, где нужно - успеха не будет... Paul

[QUOTE]заменяем: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).[/QUOTE] Старый параметр удалил, создал новый. Только вот десятичным он не делается. Ставлю метку на десятичной системе исчисления, жму на ок, потом открываю - а там отметка на шестнадцатеричной системе стоит. Я ещё раз параметр удалил и создал новый - таже беда осталась.

Офф: Серьезная борьба с зловредом здесь идет. Похоже, средства AVZ не помогают.

[QUOTE=Сергеич;153212]Ставлю метку на десятичной системе исчисления, жму на ок, потом открываю - а там отметка на шестнадцатеричной системе стоит.[/QUOTE]
Это нормально. Параметр числовой, это самое главное, а система счисления - только для удобства отображения и редактирования, она нигде не хранится.

2[B]PavelA[/B] [QUOTE]hiren boot Cd надо сделать. С него загрузиться и удалять эту всю гадость.[/QUOTE] Делал. Не удаляется. Удалилась вот этой прграммой: [QUOTE][url]http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe[/url]

Установить. Правой кнопкой мыши на папку щёлкать и выбрать 'Unlocker'. Потом выбрать 'Delete'.[/QUOTE]

2[B]p2u[/B] [QUOTE]Потом надо задать Windows, чтобы она показала все скрытие и системные файлы. Пока вы не удаляете авторан везде, где нужно - успеха не будет[/QUOTE] Ну, если [B]pig[/B] прав, то параметр реестр я подправил. Только автораны не вижу, хоть виндоуз и показывает все скрытые и системные файлы. Либо их нет, либо я не знаю что тут ещё поделать.

FAR Manager может помочь. Ему настройки Проводника по барабану, своих собственных хватает. Также умеет заглядывать в Корзину, кэш IE и прочие специфические папки, которые Проводник показывает особым образом.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]