-
Junior Member
- Вес репутации
- 62
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXPSP2\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINXPSP2\system32\ntdll.dll','');
QuarantineFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\WINXPSP2\system32\KDCOM.DLL','');
QuarantineFile('C:\WINXPSP2\system32\hal.dll','');
QuarantineFile('C:\WINXPSP2\system32\DRIVERS\CLASSPNP.SYS','');
QuarantineFile('C:\WINXPSP2\system32\BOOTVID.dll','');
QuarantineFile('C:\WINXPSP2\system32\winlib .dll','');
QuarantineFile('C:\WINXPSP2\system32\DC-CLO~1.SCR','');
QuarantineFile('C:\WINXPSP2\49400M.49400','');
QuarantineFile('C:\WINXPSP2\system32\drivers\acpidisk.sys','');
QuarantineFile('c:\program files\common files\error report\svdll.dll','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11176
насчёт nvmini.sys и linkinfo.dll- их копии запаковать в zip с паролем: virus
и также прислать по ссылке в шапке, быть может Олег или ещё кто-то напишут более корректное удаление всех следов , а не только удаление самих файлов.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - AppInit_DLLs: 49400M.49400
Последний раз редактировалось RiC; 20.07.2007 в 01:05.
-
-
Junior Member
- Вес репутации
- 62
nvmini.sys пропал со всех зараженных машин! (Он что Мутирует ????)
Выполнил, все по указанным пунктам!
Карантин выслал, Указанную строку пофиксил!
Выслал по ссылке в шапке архив с содержимым еще двух архивов с вирями!
В архиве два варианта зараженных файлов с 2-х разных машинок,
так как на подопытном кролике еще после вчерашних базовых манипуляций пропали оба файла!
Сегодня искал файл nvmini.sys везде, на всех зараженных машинках,
он просто исчез со всех зараженных машин,
(толи он мутирует, толи как переименовал себя не знаю...) поэтому высылаю то, что удалось откопать в своей сети!
а это именно файлы linkinfo.dll которые на обеих машинках антивирусы распознали как ТРОЯН!
но называли их сосвсем по разному! На обеих машинках как и на подопытном, остались записи в реестре насчет nvmini!
Какаято еще другая гадость сидит в подопытном, периодически открывает IE-и вызывает какуюто КИТАЙСКУЮ страницу,
хотя в системе бровзером по Дефолту- указана Мозила!
Ссылку запомнить не удалось, но похоже, это было связано с той строчкой которую пофиксили...
так как счас уже 30 минут как не всплывает IE с этой страницей!
что дальше ... жду инструкций!
Добавлено через 30 минут
Неа! Толькочто вспла IE-со страницей hXXp://www.cydf.org.cn
Последний раз редактировалось drongo; 20.07.2007 в 19:55.
Причина: Добавлено сообщение
-
Этот скрипт можно выполнить уже сейчас. Остальное, после анализа анaлитиков.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPSP2\49400M.49400');
DeleteFile('c:\program files\common files\error report\svdll.dll');
DeleteFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINXPSP2\system32\drivers\acpidisk.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
2.Пофиксить в HijackThis , если обьявилaсь конечно( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - AppInit_DLLs: 49400M.49400
описания вашей компании не нашёл, но один ворует пароли. Советую сменить, что ценное.
49400M.49400 =Trojan-PSW.Win32.Lmir.ays
svdll.dll =Trojan.Win32.Agent.adv
Trojan.Retvorp
однако, симантек удивил в лучшую сторону.
acpidisk.sys- вариант похожей гадости, тоже в топку.
Последний раз редактировалось drongo; 20.07.2007 в 21:07.
Причина: Добавлено сообщение
-
-
Junior Member
- Вес репутации
- 62
Предварительный скриптик выполнил
После поФиксиння перезагрузился и проверил HijackThis
строка: O20 - AppInit_DLLs: 49400M.49400
не появилась!
Cпасибо Огромное!
Жду дальнейших команд!
Насчет паролей! Я уже приказал всем своим сменить пароли везде (как в сети, так и кто-куда лазит) Это было первое, что я сделал, как только обнаружил первый зараженный комп и прочитал, что это за гадость. !
С понедельника, кто у меня сам не сменил пароль, тот принудительно будет отстранен на пару дней от компа, а за не выполненую свою работу, будет отчитываться перед нашим генеральным директором. ...
Но я так смотрю, что еще не одну тему придется открыть, прежде чем я смогу считать, что вычистил свою сетку как минимум на 99%.
Надо будет в конце этой темы составить какой-то общий алгоритм для проверки и лечения всех моих машинок, так как они наверное заражены очень похоже на друг-друга... тоесть то! что мы нашли на этой машине, с большой вероятностью присутствует и на других! (Они все почти открывают одни и теже документы с одной и тойже общей папки и запускают одни и теже приложения на сервере!).
И затем уже открывать темы только для тех машин, на которых при повторном анализе будут найдены подозрительные расхождения!
с ув. Il@k.
Добавлено через 2 минуты
Да! что значит:
описания вашей компании не нашёл,
Где не нашел??? Если надо могу дать наши реквизиты для проверки! но в PM.
Последний раз редактировалось il@k; 20.07.2007 в 23:14.
Причина: Добавлено сообщение
-
Я имел ввиду компанни "зверей" на компе ;-)
Насчёт уникального скрипта-боюсь не получиться. Под каждый комп придёться script подгонять, поэтому следует для каждого делать новую тему. Но вы же админ, значит не должно составить труда подогнать самому. Если не заметили, я скрипт поправил в 21:07 надо по новой выполнить, дабы удалить осатальную гадость.
-
-
Junior Member
- Вес репутации
- 62
Не вижу поправленного скрипта в 21:07 !!!
Я прогнал последним тот который видел! а именно:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPSP2\49400M.49400');
DeleteFile('c:\program files\common files\error report\svdll.dll');
DeleteFile('C:\WINXPSP2\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINXPSP2\system32\drivers\acpidisk.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Так, что не знаю это тот подправленный или нет!
Зато с утра на одном из обьектов удалось поймать nvmini.sys
что я и сделал и переслал как запрошенный файл (по ссылке в шапке) в архиве в месте с его linkinfo.dll -кой! -с того-же компа.
Надеюсь теперь ребятам удасться разобраться с логикой этой гадости!
с ув. Il@k
Добавлено через 4 минуты
Пардон! Кажется я понял.. это разница в часе! у меня отображается, что Вы редактировали последний раз в 20:07!
Но я кажется прогонял этот скрипт гораздо позже! Но на всяк случай счас прогоню еще раз!
Последний раз редактировалось il@k; 21.07.2007 в 16:25.
Причина: Добавлено сообщение
-
Сообщение от
il@k
Далее эта тварь заражает все EXE файлы на рассшаренных дисках в сети (увеличивая их размер) а также при подключении USB-флешки записывает туда 2 файла. AUTORUN.INF и boot.exe (который при подключении к другой машине, сразуже устанавливает новое оборудование на уровне драйверов)
Она также прописала себя в реестр во многих местах.
(Для данной машинки если надо, то есть полный Ескпорт этих веток в ТХТ-файл)
Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
RiC
Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.
Этот boot.exe файл я боюсь, что полностью удалил на всех флешках!
но в понедельник проверю еще флешки сотрудников! если у кого обнаружу, сразу вышлю! а зараженные файлы, счас упакую --- хоть целый Кг. и тудаже Ехпорт реестра, который я снимал для nvmini.
Ok! чере минут 30-40 вышлю.
Добавлено через 58 минут
Выслал архив с зараженной прогой!
в архиве также TXT файл с инфой размера незараженного файла и
Экспорт реестра веток куда прописал себя NVMINI
Добавлено через 2 минуты
Да!
DrWeb 4.33 распознает зараженные EXE файлы и корректно лечит их.
Остальные которые я пробовал, предлагают только блокировку или удаление! drweb распознает заразу как Trojan Win32/Alman
Добавлено через 14 минут
Еще выслал парочку зараженных для надежности! там также есть ТХТ файл с размерами нормальных файлов!
Могу и сами чистые выслать, если надо!
Последний раз редактировалось il@k; 21.07.2007 в 22:07.
Причина: Добавлено сообщение
с ув. [B][I]Il@k[/I][/B]
-
Junior Member
- Вес репутации
- 62
Поймал гада на флешке!
Сообщение от
RiC
Если ещё остались - пришлите ещё boot.exe c флешки или любой зараженный файл и экспорт реестра.
Поймал Гада на одной из флешек сотрудников!
Там файл boot.exe отсутствует, но в место него присутствуют два других и autorun.inf
а также на одной флешке остался autorun.inf от boot.exe
В них есть интересные места, похожие на коды в машинных кодах, только
внедренные в текстовый файл как параметер для ini-переменной! поэтому высылаю и просто его, для анализа!
Я вложил архив с вирусами в другой архив, где просто этот autorun.inf файл.
Правда файлы .ехе находящиеся в архиве определяются совсем под другими именами!
-
Junior Member
- Вес репутации
- 62
Сориентируйте меня! как обстоят дела ???
Сориентируйте меня плииз! как обстоят дела с разбором полетев этой гадости!!! ???
Я не тороплю никого, просто хочу сориентироваться, когда ждать окончательного приговора с чисткой реестра!
Мне надо запланировать глобальную чистку машинок, а это связано с полным отключением их от сети!!!
И хотелось бы уже иметь метод чистки реестра от тех записей! а с суботы начиная на мои посты не было никаких реакций!
Спасибо за понимание!
-
Junior Member
- Вес репутации
- 62
Поймал и сам boot.exe !
Выслал архивчик по ссылке в Шапке!
Там сам boot.exe и его autorun.inf
сам архив называется Autorun_vir_boot.zip
Теперь уже эта гадость должна быть полностью на ладони!
Жду хоть какой-то Инфы!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 7
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- \\autorun.inf - Worm.Win32.AutoRun.vcz (DrWEB: Win32.HLLW.Autoruner)
- \\boot.exe - Trojan-Dropper.Win32.Small.axz (DrWEB: Win32.Alman)
- \\cardup.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
- c:\\program files\\common files\\error report\\svdll.dll - Trojan.Win32.Agent.adv (DrWEB: Trojan.BhoWatcher)
- \\cservice.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
- c:\\winxpsp2\\system32\\drivers\\acpidisk.sys - HEUR:Trojan.Win32.Generic
- c:\\winxpsp2\\system32\\drivers\\mxdispdr.sys - Trojan.Win32.Inject.co (DrWEB: Trojan.Inject.340)
- c:\\winxpsp2\\49400m.49400 - Trojan-GameThief.Win32.Lmir.ays (DrWEB: Trojan.PWS.Legmir.1183)
- \\linkinfo.dll - Trojan-Downloader.Win32.Agent.bsi (DrWEB: Win32.Alman)
- \\monit32.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
- \\nvmini.sys - Rootkit.Win32.Agent.ga (DrWEB: Win32.Alman)
- \\regservc.exe - Virus.Win32.Alman.b (DrWEB: Win32.Alman.1)
-