Война с Win32.sector.5

**Sensor** · 08.07.2008, 01:46

То, что заразился sector.5 знал сразу - об этом едва успел пикнуть сразу же убитый Dr. Web, но не знал что за зверь. Попытки запустить любое антивирусное ПО (в том числе попытки поиска через браузер - его тоже прибивало) не увенчались успехом.

Сейф-мод восстановлен скриптом для свежескаченного AVZ.
CureIt запущенный с диска read-only под сейф-мод обнаруживает (и по его же словам обезвреживает) Sector.7 и Sector.5. Однако, при повторном скане (как быстром так и полном) через несколько секунд картина повторяется (2 файла заражены Sector.5)

Зараженный процесс пытается записать на read-only диск (о чем свидетельствует постоянно возникающая ошибка). Если процесс прибить - заражается следующий.

P.S. Получилось установить K.I.S 8.0 - но при активном "вредоносном" процессе его убивает.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 08.07.2008, 01:54

Самое надёжное решение в этой ситуации - загрузка с Live CD и полное сканирование всех дисков.

**Sensor** · 08.07.2008, 02:20

Live-CD попробую. Пробовал лечить подрубая винт к здоровой машине обновленным CurIT и K.I.S. 8.0 - не помогло. Пока работаю с распакованным на рид-онли флешку CurIT.

CureIt & AVZ не победят?

**pig** · 08.07.2008, 02:40

То есть, полное сканирование из-под чистой системы вы делали, и зверь по-прежнему жив? В таком случае сканирование под заражённой системой смысла не имеет, зверь очень быстро размножается. Надо искать недетектируемые остатки из чистой системы или с Live CD.

**Sensor** · 08.07.2008, 02:52

Да, сканирование и лечение со здоровой системы (в 1-ом случае CureIt, во 2-ом обновленный K.I.S 8.0) проводилось. Вирь находился и прибивался. Загрузка с "больного" винта давала старые грабли.

Возможно ли по логам AVZ & HijackThis определить откуда у зверя ноги растут?

**pig** · 08.07.2008, 02:59

Ещё раз уточняю: сканирование было полное? Все разделы больного диска? На вашей машине винчестер один?

**Sensor** · 08.07.2008, 03:20

Полное - проведенное самолично. Винчестер один, разделы все (не считая того на котором BeOS, думаю это погоды не сделает). После загрузки с исцеляемого винта картина не изменилась - полный висяк, запускаю таск менеджер, прибиваю эксплорер, запускается поиск драйверов к новому устройству (ничего нового не устанавливалось), запускаю эксплорер - загрузку можно считать завершенной. Запускаю Curit - в процессах Sector.7 и один-два файла заражены sector.5

**kps** · 08.07.2008, 12:01

Ситуация у Вас такая. Вообще логи не предназначены для обнаружения зараженных файлов, но в них видны важные системные файлы, которые не прошли по базе безопасных. Мы их возьмем на проверку, как и некоторые другие файлы. Кроме того, в логах видны некоторые зловреды, не исключено, что один из них дропает файловый вирус. Мы их удалим скриптом AVZ. При лечении Вы упустили очень важный момент. Нужно обязательно отключить восстановление системы, как написано в правилах!
Отключите его.
Затем выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\hidec','');
 QuarantineFile('C:\WINDOWS\system32\ssmarque.cpl','');
 QuarantineFile('longhornui.exe','');
 QuarantineFile('lclock.exe','');
 QuarantineFile('hsys.dll','');
 QuarantineFile('C:\WINDOWS\system32\shell32.dll','');
 QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
 QuarantineFile('C:\WINDOWS\msagent\msywhc.com','');
 QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
 QuarantineFile('C:\WINDOWS\FANTAS~1.SCR','');
 QuarantineFile('D:\Program Files\Ufasoft\Sniffer\usft_sn4.sys','');
 QuarantineFile('D:\Script50\dlls\Useless.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sknmoq.sys','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('c:\windows\explorer.exe','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sknmoq.sys');
 DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
 DelBHO('9AA2F14F-E956-44B8-8694-A5B615CDF341');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('aic32p');
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26072 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.
Проверим карантин и будем думать, как Вам действовать дальше.

**Sensor** · 08.07.2008, 17:56

Восстановлений системы отключил. Скрипт запустил, карантин отправил. Прикрепляю новые логи.

**kps** · 09.07.2008, 12:11

Ответ по Вашему карантину пока не пришел. Вот этот файл C:\WINDOWS\Fantastic Flame Screensaver.scr один антивирус подозревает. Вы можете пока убрать его из автозагрузки, добавив в нижеследующий скрипт команду SysCleanAddFile('C:\WINDOWS\FANTAS~1.SCR'); перед уже имеющейся там командой ExecuteSysClean;

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sknmoq.sys');
DeleteFileMask('C:\System Volume Information', '*.*', true); 
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Возьмите зараженный жесткий диск и на чистом компьютере пролечите его сначала свежим CureIt! (сегодня в его базы попала новая модификация этого вируса), а потом обновленным K.I.S 8.0. Теперь, когда восстановление системы отключено, шансы победить зловреда выше.

**Sensor** · 10.07.2008, 18:27

YfНа той машине пока не было возможности проверить. А собственно почему AVZ с новыми базами этот вирь не определяет и не лечит?

**Гриша** · 10.07.2008, 18:40

AVZ-это не антивирус,а инструмент воина-освободителя.

**Sensor** · 11.07.2008, 02:13

Система проверена на здоровой машине с помощью обновленного CureIT. Был обнаружен Sector.5 и по словам утилиты исцелен. При загрузке с винта эффект тот же. В процессах Sector.7, который якобы обезвреживается. Куда же он прячется, этот Setcor.7 при скане с другой машины? Возможно ли вообще исцелиться?

Файлы, якобы излеченные на здоровой системе (в частности переименованный AVZ) опять заражены.

**kps** · 11.07.2008, 02:57

Убедитесь, что
1) зараженный компьютер не подключен к локальной сети.
2) CureIt! и другие антивирусы, которыми лечите, не заражены.

А на больном компе есть кроме жесткого диска, который Вы лечите, еще какой-нибудь жесткий диск? Надо пролечить все.

В общем на здоровой машине я бы пролечил сначала свежим CureIt!, потом сразу обновленным KIS, а потом еще каким-нибудь антивирусом (BitDefender например).

**Sensor** · 11.07.2008, 19:11

Сеть была отключена. CureIt на проверяющей машине не заражен. Жесткий диск единсвтенный.

Просканил еще раз в сейф-мод с помощью CurIt - ничего не обнаружил. При перезагрузке в нормальном режиме старая песня. Кьюрит находит Sector.7 и якобы обезвреживает. Сканю обновленным K.I.S. 8.0 - ничего не находит. Если зараженный (и якобы обезвреженный) процесс прибить - то моментально убивается и K.I.S.

**kps** · 12.07.2008, 01:52

Пришлите несколько зараженных и подозрительных файлов сюда: http://virusinfo.info/upload_virus.php?tid=26072 в архиве с паролем virus.

**Sensor** · 15.07.2008, 21:27

Отправил архив

**Sensor** · 29.07.2008, 18:25

Такое впечатление что CureIt в safemode его не лечит.
Восстановление системы и сеть отключены.
При обычной загрузке вылетает "Поиск драйверов для нового устройства", хотя ничего не устонавливалось. Daemon Tools при загрузке ругается на то, что активирован кернел дебагер.

**Rene-gad** · 29.07.2008, 18:38

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O20 - Winlogon Notify: ctrllib - hsys.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('{63AA02C1-B21E-1ACC-DA21-EAE42B1AA32C}');
 DeleteService('aic32p');
 QuarantineFile('C:\WINDOWS\msihdr.exe','');
 QuarantineFile('C:\WINDOWS\msagent\msywhc.com','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sknmoq.sys','');
 QuarantineFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\1upuyhNK.sys','');
 QuarantineFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\RarSFX1\setup.exe','');
 DeleteFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\RarSFX1\setup.exe');
 DeleteFile('C:\DOCUME~1\Caesar\LOCALS~1\Temp\1upuyhNK.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\sknmoq.sys');
 DeleteFile('C:\WINDOWS\msagent\msywhc.com');
 DeleteFile('C:\WINDOWS\msihdr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('aic32p');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке