Просил у экспертов помочь с уникальным скриптом для лечения всех пострадавших.
Было велено сделать логи AVZ & HijackThis по правилам раздела, хотя бы с 2ух зараженных машин, чем сегодня вечером на досуге я и занялся.
Все манипуляции проводились на виртуальных машинах, но это ни коим образом не сказалось на активности вредоноса.
Имеется 2 пачки логов, одна с WinXP x86 / вторая с Win7 x86.
Собственно просьба остается прежней :
Если есть такая возможность, сделайте пожалуйста универсальный скрипт для удаления \ нейтрализации вредоноса в системе.
Заранее извиняюсь, если что-то сделал не по правилам.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ShadowFrench, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
TerminateProcessByName('C:\Windows\System32\Syslogon.exe');
TerminateProcessByName('%AppData%\Local\Temp\ZOOMHACK by ACONEX.exe');
QuarantineFile('C:\Windows\system32\Syslogon.exe','');
DeleteFile('C:\Windows\system32\Syslogon.exe');
QuarantineFile('%AppData%\Local\Temp\ZOOMHACK by ACONEX.exe','');
DeleteFile('%AppData%\Local\Temp\ZOOMHACK by ACONEX.exe');
QuarantineFile(StartupFolder + '\Syslogon.exe','');
DeleteFile(StartupFolder + '\Syslogon.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скрыть
можете его сразу после снятия логов испытать, только он не удаляет
Сообщение от regist
C:\Windows\system32\H@tKeysH@@k.DLL
т.к. думаю этот файл может быть установлен в системе и легальной программой.
+ не удаляет скрытую папку
Сообщение от regist
C:\Users\UserName\AppData\Roaming\A3C66442
имя папки как понимаю всегда будет рандомное, так что заранее в скрипт не вставишь.
- - - Добавлено - - -
зы. на момент написания скрипта логов не видел. Сейчас посмотрю.
- - - Добавлено - - -
Если не считать
Код:
C:\Windows\System32\H@tKeysH@@k.DLL
то в этих логах не видно заражения. Вы его сами на этих системах не пытались лечить до снятия логов ?
На системе, которая с XP рекомендую AVZ мастер поиска и устранения проблем - Пуск -
исправить проблемы
9. Мастер поиска и устранения проблем
>> Меню Пуск - заблокированы элементы
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Повреждены настройки SafeBoot
- - - Добавлено - - -
Сообщение от ShadowFrench
но это ни коим образом не сказалось на активности вредоноса.
как минимум зловред должен был прописаться в папку автозагрузки. В этих логах я этого не вижу. Правда не думаю, что причина в виртуалке.
Видимо в билде рата была анти-вм функция, ибо hotkeyshook.dll - это компонент самого чита.
На сервере стоит некая защита от подобного рода программ, и таким образом видимо автор её обходил.
Ну а левых бинарей, типа Syslogon.exe мы не увидили, поскольку зловред запускался на виртуальной машине.
Видимо придется искать жертв с активным заражением...
Забыл в очередной раз поблагодарить вас, и всех тех, кто помогает с решением этого вопроса.
Тоже хочу вступить в группу студентов и обучится всем тонкостям, но заявку уже несколько недель рассматривают.
Последний раз редактировалось ShadowFrench; 30.06.2013 в 02:16.
Причина: edited
При копирование скрипта там строчка потерялась, вот исправленный вариант:
Код:
var StartupFolder:string;
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
TerminateProcessByName('C:\Windows\System32\Syslogon.exe');
TerminateProcessByName('%AppData%\Local\Temp\ZOOMHACK by ACONEX.exe');
QuarantineFile('C:\Windows\system32\Syslogon.exe','');
DeleteFile('C:\Windows\system32\Syslogon.exe');
QuarantineFile('%AppData%\Local\Temp\ZOOMHACK by ACONEX.exe','');
DeleteFile('%AppData%\Local\Temp\ZOOMHACK by ACONEX.exe');
QuarantineFile(StartupFolder + '\Syslogon.exe','');
DeleteFile(StartupFolder + '\Syslogon.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
. Ждём вообщем логов, а пока предварительный набросок скрипта для Windows 7 по моему анализу
Сообщение от regist
