Показано с 1 по 13 из 13.

Win32/Alman.C RootKit vir! (nvmini.sys...) (заявка № 11176)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    Question Win32/Alman.C RootKit vir! (nvmini.sys...)

    Как вылечить систему от Win32/Alman.C - ???
    У меня таких машинок несколько- симптомы одни и те-же.

    система везде установлена WinXP-PRO SP2 и на двух машинка - WinXP-Home-SP2.
    Конкретный подопытный - WinXP-PRO SP2.

    эта тварь постоянно записывает два файла \WinDir\system32\drivers\nvmini.sys и \WinDir\linkinfo.dll

    и не дает их удалить! (в Safe-mode - nvmini.sys удаляется, но после перезагрузки появляется снова)

    Далее эта тварь заражает все EXE файлы на рассшаренных дисках в сети (увеличивая их размер) а также
    при подключении USB-флешки записывает туда 2 файла. AUTORUN.INF и boot.exe (который при подключении к другой машине, сразуже устанавливает новое оборудование на уровне драйверов)

    Она также прописала себя в реестр во многих местах.
    ----
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_NVMINI\0000]
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_NVMINI\0000]
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\n vmini]
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\n vmini\Security]
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_NVMINI]
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_NVMINI\0000]
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_NVMINI]
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_NVMINI\0000]

    (Для данной машинки если надо, то есть полный Ескпорт этих веток в ТХТ-файл)

    Теперь по поводу описанной методики проверки!

    Выполнил все пункты с той только разницей, что невозможно было загрузиться в SAFE-MODE и выполнить DrWeb-CureIt- (его пришлось погнать в нормальном режиме) Машина при попытке загрузиться в безопасном режиме --- почти доходит до графического режима и вылетает с синим экраном на секунду, затем идет на перезагрузку.

    Мои действия были следующими!
    (Все проходило в нормальном режиме!!! не в безопасном)
    1. Отключил все Антивири и все, что не обьязательно...
    2. Отключил востановление Системы!
    3. Запустил развернутый DrWeb (c CD!) с последним обновлением на предмет лечить и проверить все диски! Нашел кучу всего и либо вылечил либо удалил! (Лог Файл есть, если надо вышлю.)
    4. Запустил DrWeb-CureIt. сохранил лог.
    5. Запустил AVZ - (Как в пункте 8. инструкции)
    6. Перезагрузился.
    7. Выполнил пункт 10-инструкции.
    8. Выполнил пункт 12 - инструкции.

    после всех этих пунктов...(которые я проделал по инструкции) файлы \WinDir\system32\drivers\nvmini.sys и \WinDir\linkinfo.dll
    исчезли - вродебы-??? (по крайней мере после 3-х перезагрузок, они не появились на своих местах и Total-Commander их нигде не нашел) но записи в реестре остались нетронутыми..
    (это все на данной конкретной машинке)
    вот теперь дошол до 14-го пункта инструкци и высылаю требуемые файлы!

    (желательно найти решение подходящее для всех остальных машин с этими-же симтомами)

    с ув. Il@k.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINXPSP2\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINXPSP2\system32\ntdll.dll','');
     QuarantineFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys','');
     QuarantineFile('C:\WINXPSP2\system32\KDCOM.DLL','');
     QuarantineFile('C:\WINXPSP2\system32\hal.dll','');
     QuarantineFile('C:\WINXPSP2\system32\DRIVERS\CLASSPNP.SYS','');
     QuarantineFile('C:\WINXPSP2\system32\BOOTVID.dll','');
     QuarantineFile('C:\WINXPSP2\system32\winlib .dll','');
     QuarantineFile('C:\WINXPSP2\system32\DC-CLO~1.SCR','');
     QuarantineFile('C:\WINXPSP2\49400M.49400','');
     QuarantineFile('C:\WINXPSP2\system32\drivers\acpidisk.sys','');
     QuarantineFile('c:\program files\common files\error report\svdll.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11176

    насчёт nvmini.sys и linkinfo.dll- их копии запаковать в zip с паролем: virus
    и также прислать по ссылке в шапке, быть может Олег или ещё кто-то напишут более корректное удаление всех следов , а не только удаление самих файлов.
    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - AppInit_DLLs: 49400M.49400
    Последний раз редактировалось RiC; 20.07.2007 в 00:05.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    nvmini.sys пропал со всех зараженных машин! (Он что Мутирует ????)

    Выполнил, все по указанным пунктам!
    Карантин выслал, Указанную строку пофиксил!
    Выслал по ссылке в шапке архив с содержимым еще двух архивов с вирями!

    В архиве два варианта зараженных файлов с 2-х разных машинок,
    так как на подопытном кролике еще после вчерашних базовых манипуляций пропали оба файла!
    Сегодня искал файл nvmini.sys везде, на всех зараженных машинках,
    он просто исчез со всех зараженных машин,
    (толи он мутирует, толи как переименовал себя не знаю...) поэтому высылаю то, что удалось откопать в своей сети!
    а это именно файлы linkinfo.dll которые на обеих машинках антивирусы распознали как ТРОЯН!
    но называли их сосвсем по разному! На обеих машинках как и на подопытном, остались записи в реестре насчет nvmini!

    Какаято еще другая гадость сидит в подопытном, периодически открывает IE-и вызывает какуюто КИТАЙСКУЮ страницу,
    хотя в системе бровзером по Дефолту- указана Мозила!
    Ссылку запомнить не удалось, но похоже, это было связано с той строчкой которую пофиксили...
    так как счас уже 30 минут как не всплывает IE с этой страницей!

    что дальше ... жду инструкций!

    Добавлено через 30 минут
    Неа! Толькочто вспла IE-со страницей hXXp://www.cydf.org.cn
    Последний раз редактировалось drongo; 20.07.2007 в 18:55. Причина: Добавлено сообщение

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    Этот скрипт можно выполнить уже сейчас. Остальное, после анализа анaлитиков.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINXPSP2\49400M.49400');
     DeleteFile('c:\program files\common files\error report\svdll.dll');
     DeleteFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys');
     DeleteFile('C:\WINXPSP2\system32\drivers\acpidisk.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2.Пофиксить в HijackThis , если обьявилaсь конечно( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - AppInit_DLLs: 49400M.49400
    описания вашей компании не нашёл, но один ворует пароли. Советую сменить, что ценное.
    49400M.49400 =Trojan-PSW.Win32.Lmir.ays
    svdll.dll =Trojan.Win32.Agent.adv
    Trojan.Retvorp
    однако, симантек удивил в лучшую сторону.
    acpidisk.sys- вариант похожей гадости, тоже в топку.
    Последний раз редактировалось drongo; 20.07.2007 в 20:07. Причина: Добавлено сообщение

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    Предварительный скриптик выполнил

    После поФиксиння перезагрузился и проверил HijackThis
    строка: O20 - AppInit_DLLs: 49400M.49400
    не появилась!

    Cпасибо Огромное!
    Жду дальнейших команд!

    Насчет паролей! Я уже приказал всем своим сменить пароли везде (как в сети, так и кто-куда лазит) Это было первое, что я сделал, как только обнаружил первый зараженный комп и прочитал, что это за гадость. !
    С понедельника, кто у меня сам не сменил пароль, тот принудительно будет отстранен на пару дней от компа, а за не выполненую свою работу, будет отчитываться перед нашим генеральным директором. ...

    Но я так смотрю, что еще не одну тему придется открыть, прежде чем я смогу считать, что вычистил свою сетку как минимум на 99%.

    Надо будет в конце этой темы составить какой-то общий алгоритм для проверки и лечения всех моих машинок, так как они наверное заражены очень похоже на друг-друга... тоесть то! что мы нашли на этой машине, с большой вероятностью присутствует и на других! (Они все почти открывают одни и теже документы с одной и тойже общей папки и запускают одни и теже приложения на сервере!).
    И затем уже открывать темы только для тех машин, на которых при повторном анализе будут найдены подозрительные расхождения!

    с ув. Il@k.

    Добавлено через 2 минуты
    Да! что значит:
    описания вашей компании не нашёл,
    Где не нашел??? Если надо могу дать наши реквизиты для проверки! но в PM.
    Последний раз редактировалось il@k; 20.07.2007 в 22:14. Причина: Добавлено сообщение

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    Я имел ввиду компанни "зверей" на компе ;-)
    Насчёт уникального скрипта-боюсь не получиться. Под каждый комп придёться script подгонять, поэтому следует для каждого делать новую тему. Но вы же админ, значит не должно составить труда подогнать самому. Если не заметили, я скрипт поправил в 21:07 надо по новой выполнить, дабы удалить осатальную гадость.

  8. #7
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    Не вижу поправленного скрипта в 21:07 !!!

    Я прогнал последним тот который видел! а именно:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINXPSP2\49400M.49400');
     DeleteFile('c:\program files\common files\error report\svdll.dll');
     DeleteFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys');
     DeleteFile('C:\WINXPSP2\system32\drivers\acpidisk.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Так, что не знаю это тот подправленный или нет!

    Зато с утра на одном из обьектов удалось поймать nvmini.sys
    что я и сделал и переслал как запрошенный файл (по ссылке в шапке) в архиве в месте с его linkinfo.dll -кой! -с того-же компа.
    Надеюсь теперь ребятам удасться разобраться с логикой этой гадости!

    с ув. Il@k

    Добавлено через 4 минуты
    Пардон! Кажется я понял.. это разница в часе! у меня отображается, что Вы редактировали последний раз в 20:07!
    Но я кажется прогонял этот скрипт гораздо позже! Но на всяк случай счас прогоню еще раз!
    Последний раз редактировалось il@k; 21.07.2007 в 15:25. Причина: Добавлено сообщение

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    550
    Цитата Сообщение от il@k Посмотреть сообщение
    Далее эта тварь заражает все EXE файлы на рассшаренных дисках в сети (увеличивая их размер) а также при подключении USB-флешки записывает туда 2 файла. AUTORUN.INF и boot.exe (который при подключении к другой машине, сразуже устанавливает новое оборудование на уровне драйверов)

    Она также прописала себя в реестр во многих местах.

    (Для данной машинки если надо, то есть полный Ескпорт этих веток в ТХТ-файл)
    Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.

  10. #9
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40
    Цитата Сообщение от RiC Посмотреть сообщение
    Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.
    Этот boot.exe файл я боюсь, что полностью удалил на всех флешках!
    но в понедельник проверю еще флешки сотрудников! если у кого обнаружу, сразу вышлю! а зараженные файлы, счас упакую --- хоть целый Кг. и тудаже Ехпорт реестра, который я снимал для nvmini.
    Ok! чере минут 30-40 вышлю.

    Добавлено через 58 минут
    Выслал архив с зараженной прогой!
    в архиве также TXT файл с инфой размера незараженного файла и
    Экспорт реестра веток куда прописал себя NVMINI

    Добавлено через 2 минуты
    Да!
    DrWeb 4.33 распознает зараженные EXE файлы и корректно лечит их.
    Остальные которые я пробовал, предлагают только блокировку или удаление! drweb распознает заразу как Trojan Win32/Alman

    Добавлено через 14 минут
    Еще выслал парочку зараженных для надежности! там также есть ТХТ файл с размерами нормальных файлов!
    Могу и сами чистые выслать, если надо!
    Последний раз редактировалось il@k; 21.07.2007 в 21:07. Причина: Добавлено сообщение
    с ув. [B][I]Il@k[/I][/B]

  11. #10
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    Поймал гада на флешке!

    Цитата Сообщение от RiC Посмотреть сообщение
    Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.
    Поймал Гада на одной из флешек сотрудников!
    Там файл boot.exe отсутствует, но в место него присутствуют два других и autorun.inf
    а также на одной флешке остался autorun.inf от boot.exe
    В них есть интересные места, похожие на коды в машинных кодах, только
    внедренные в текстовый файл как параметер для ini-переменной! поэтому высылаю и просто его, для анализа!
    Я вложил архив с вирусами в другой архив, где просто этот autorun.inf файл.
    Правда файлы .ехе находящиеся в архиве определяются совсем под другими именами!
    с ув. [B][I]Il@k[/I][/B]

  12. #11
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    Сориентируйте меня! как обстоят дела ???

    Сориентируйте меня плииз! как обстоят дела с разбором полетев этой гадости!!! ???
    Я не тороплю никого, просто хочу сориентироваться, когда ждать окончательного приговора с чисткой реестра!
    Мне надо запланировать глобальную чистку машинок, а это связано с полным отключением их от сети!!!
    И хотелось бы уже иметь метод чистки реестра от тех записей! а с суботы начиная на мои посты не было никаких реакций!

    Спасибо за понимание!
    с ув. [B][I]Il@k[/I][/B]

  13. #12
    Junior Member Репутация
    Регистрация
    16.07.2007
    Адрес
    Kiev
    Сообщений
    8
    Вес репутации
    40

    Поймал и сам boot.exe !

    Выслал архивчик по ссылке в Шапке!
    Там сам boot.exe и его autorun.inf
    сам архив называется Autorun_vir_boot.zip

    Теперь уже эта гадость должна быть полностью на ладони!
    Жду хоть какой-то Инфы!
    с ув. [B][I]Il@k[/I][/B]

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 7
    • Обработано файлов: 47
    • В ходе лечения обнаружены вредоносные программы:
      1. \\autorun.inf - Worm.Win32.AutoRun.vcz (DrWEB: Win32.HLLW.Autoruner)
      2. \\boot.exe - Trojan-Dropper.Win32.Small.axz (DrWEB: Win32.Alman)
      3. \\cardup.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
      4. c:\\program files\\common files\\error report\\svdll.dll - Trojan.Win32.Agent.adv (DrWEB: Trojan.BhoWatcher)
      5. \\cservice.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
      6. c:\\winxpsp2\\system32\\drivers\\acpidisk.sys - HEUR:Trojan.Win32.Generic
      7. c:\\winxpsp2\\system32\\drivers\\mxdispdr.sys - Trojan.Win32.Inject.co (DrWEB: Trojan.Inject.340)
      8. c:\\winxpsp2\\49400m.49400 - Trojan-GameThief.Win32.Lmir.ays (DrWEB: Trojan.PWS.Legmir.1183)
      9. \\linkinfo.dll - Trojan-Downloader.Win32.Agent.bsi (DrWEB: Win32.Alman)
      10. \\monit32.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
      11. \\nvmini.sys - Rootkit.Win32.Agent.ga (DrWEB: Win32.Alman)
      12. \\regservc.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)


  • Уважаемый(ая) il@k, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32:Alman
      От spoivt в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.06.2010, 16:06
    2. win32.alman.b
      От ZAP! в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.11.2009, 00:06
    3. Win32/Alman.nab?
      От SerhiyKa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2008, 11:28
    4. Win32.Alman
      От Zab в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 08.03.2008, 22:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01258 seconds with 17 queries