Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Война с Win32.sector.5 (заявка № 26072)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35

    Exclamation Война с Win32.sector.5

    То, что заразился sector.5 знал сразу - об этом едва успел пикнуть сразу же убитый Dr. Web, но не знал что за зверь. Попытки запустить любое антивирусное ПО (в том числе попытки поиска через браузер - его тоже прибивало) не увенчались успехом.

    Сейф-мод восстановлен скриптом для свежескаченного AVZ.
    CureIt запущенный с диска read-only под сейф-мод обнаруживает (и по его же словам обезвреживает) Sector.7 и Sector.5. Однако, при повторном скане (как быстром так и полном) через несколько секунд картина повторяется (2 файла заражены Sector.5)

    Зараженный процесс пытается записать на read-only диск (о чем свидетельствует постоянно возникающая ошибка). Если процесс прибить - заражается следующий.

    P.S. Получилось установить K.I.S 8.0 - но при активном "вредоносном" процессе его убивает.
    Вложения Вложения
    Последний раз редактировалось Sensor; 08.07.2008 в 00:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Самое надёжное решение в этой ситуации - загрузка с Live CD и полное сканирование всех дисков.

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Live-CD попробую. Пробовал лечить подрубая винт к здоровой машине обновленным CurIT и K.I.S. 8.0 - не помогло. Пока работаю с распакованным на рид-онли флешку CurIT.

    CureIt & AVZ не победят?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    То есть, полное сканирование из-под чистой системы вы делали, и зверь по-прежнему жив? В таком случае сканирование под заражённой системой смысла не имеет, зверь очень быстро размножается. Надо искать недетектируемые остатки из чистой системы или с Live CD.

  6. #5
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Да, сканирование и лечение со здоровой системы (в 1-ом случае CureIt, во 2-ом обновленный K.I.S 8.0) проводилось. Вирь находился и прибивался. Загрузка с "больного" винта давала старые грабли.

    Возможно ли по логам AVZ & HijackThis определить откуда у зверя ноги растут?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Ещё раз уточняю: сканирование было полное? Все разделы больного диска? На вашей машине винчестер один?

  8. #7
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Полное - проведенное самолично. Винчестер один, разделы все (не считая того на котором BeOS, думаю это погоды не сделает). После загрузки с исцеляемого винта картина не изменилась - полный висяк, запускаю таск менеджер, прибиваю эксплорер, запускается поиск драйверов к новому устройству (ничего нового не устанавливалось), запускаю эксплорер - загрузку можно считать завершенной. Запускаю Curit - в процессах Sector.7 и один-два файла заражены sector.5

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Ситуация у Вас такая. Вообще логи не предназначены для обнаружения зараженных файлов, но в них видны важные системные файлы, которые не прошли по базе безопасных. Мы их возьмем на проверку, как и некоторые другие файлы. Кроме того, в логах видны некоторые зловреды, не исключено, что один из них дропает файловый вирус. Мы их удалим скриптом AVZ. При лечении Вы упустили очень важный момент. Нужно обязательно отключить восстановление системы, как написано в правилах!
    Отключите его.
    Затем выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\hidec','');
     QuarantineFile('C:\WINDOWS\system32\ssmarque.cpl','');
     QuarantineFile('longhornui.exe','');
     QuarantineFile('lclock.exe','');
     QuarantineFile('hsys.dll','');
     QuarantineFile('C:\WINDOWS\system32\shell32.dll','');
     QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
     QuarantineFile('C:\WINDOWS\msagent\msywhc.com','');
     QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
     QuarantineFile('C:\WINDOWS\FANTAS~1.SCR','');
     QuarantineFile('D:\Program Files\Ufasoft\Sniffer\usft_sn4.sys','');
     QuarantineFile('D:\Script50\dlls\Useless.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sknmoq.sys','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('c:\windows\explorer.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\sknmoq.sys');
     DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
     DelBHO('9AA2F14F-E956-44B8-8694-A5B615CDF341');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('aic32p');
    BC_DeleteSvc('PowerManager');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26072 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Проверим карантин и будем думать, как Вам действовать дальше.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Восстановлений системы отключил. Скрипт запустил, карантин отправил. Прикрепляю новые логи.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Ответ по Вашему карантину пока не пришел. Вот этот файл C:\WINDOWS\Fantastic Flame Screensaver.scr один антивирус подозревает. Вы можете пока убрать его из автозагрузки, добавив в нижеследующий скрипт команду SysCleanAddFile('C:\WINDOWS\FANTAS~1.SCR'); перед уже имеющейся там командой ExecuteSysClean;

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\drivers\sknmoq.sys');
    DeleteFileMask('C:\System Volume Information', '*.*', true); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Возьмите зараженный жесткий диск и на чистом компьютере пролечите его сначала свежим CureIt! (сегодня в его базы попала новая модификация этого вируса), а потом обновленным K.I.S 8.0. Теперь, когда восстановление системы отключено, шансы победить зловреда выше.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    YfНа той машине пока не было возможности проверить. А собственно почему AVZ с новыми базами этот вирь не определяет и не лечит?

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    AVZ-это не антивирус,а инструмент воина-освободителя.

  14. #13
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Система проверена на здоровой машине с помощью обновленного CureIT. Был обнаружен Sector.5 и по словам утилиты исцелен. При загрузке с винта эффект тот же. В процессах Sector.7, который якобы обезвреживается. Куда же он прячется, этот Setcor.7 при скане с другой машины? Возможно ли вообще исцелиться?

    Файлы, якобы излеченные на здоровой системе (в частности переименованный AVZ) опять заражены.
    Последний раз редактировалось Sensor; 11.07.2008 в 01:19.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Убедитесь, что
    1) зараженный компьютер не подключен к локальной сети.
    2) CureIt! и другие антивирусы, которыми лечите, не заражены.

    А на больном компе есть кроме жесткого диска, который Вы лечите, еще какой-нибудь жесткий диск? Надо пролечить все.

    В общем на здоровой машине я бы пролечил сначала свежим CureIt!, потом сразу обновленным KIS, а потом еще каким-нибудь антивирусом (BitDefender например).
    Последний раз редактировалось kps; 11.07.2008 в 02:09.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Сеть была отключена. CureIt на проверяющей машине не заражен. Жесткий диск единсвтенный.

    Просканил еще раз в сейф-мод с помощью CurIt - ничего не обнаружил. При перезагрузке в нормальном режиме старая песня. Кьюрит находит Sector.7 и якобы обезвреживает. Сканю обновленным K.I.S. 8.0 - ничего не находит. Если зараженный (и якобы обезвреженный) процесс прибить - то моментально убивается и K.I.S.
    Последний раз редактировалось Sensor; 11.07.2008 в 18:41.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Пришлите несколько зараженных и подозрительных файлов сюда: http://virusinfo.info/upload_virus.php?tid=26072 в архиве с паролем virus.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  18. #17
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Отправил архив

  19. #18
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Такое впечатление что CureIt в safemode его не лечит.
    Восстановление системы и сеть отключены.
    При обычной загрузке вылетает "Поиск драйверов для нового устройства", хотя ничего не устонавливалось. Daemon Tools при загрузке ругается на то, что активирован кернел дебагер.
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: ctrllib - hsys.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{63AA02C1-B21E-1ACC-DA21-EAE42B1AA32C}');
     DeleteService('aic32p');
     QuarantineFile('C:\WINDOWS\msihdr.exe','');
     QuarantineFile('C:\WINDOWS\msagent\msywhc.com','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sknmoq.sys','');
     QuarantineFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\1upuyhNK.sys','');
     QuarantineFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\RarSFX1\setup.exe','');
     DeleteFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\RarSFX1\setup.exe');
     DeleteFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\1upuyhNK.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sknmoq.sys');
     DeleteFile('C:\WINDOWS\msagent\msywhc.com');
     DeleteFile('C:\WINDOWS\msihdr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('aic32p');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке

  21. #20
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    16
    Вес репутации
    35
    Новые логи
    Вложения Вложения

  • Уважаемый(ая) Sensor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Sector.16, Win32.Sector.17 (Win32.Sality)
      От Second_Fry в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 07.09.2009, 19:02
    2. Война с Win32.HLLW.Autoruner.5555, помогите, плиз!
      От castle в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2009, 11:49
    3. Ответов: 1
      Последнее сообщение: 02.03.2009, 14:25
    4. Win32.sector.12(sector.5)
      От Medievil в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.12.2008, 03:52
    5. Война с Win32.Alman
      От rrChip в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.01.2008, 21:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00817 seconds with 17 queries