Показано с 1 по 17 из 17.

Помогите уберечь сеть от вот этого вируса (заявка № 46924)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37

    Question Помогите уберечь сеть от вот этого вируса

    Добрый день

    Исходные данные: есть домен, энное количество ПК. На всех компьютерах с XP SP3 установлен McAfee ViruScan Enterprise 8.5.0i с последними обновлениями. Операционные системы не обновляются по техническим причинам... вообще.

    Уже штук 5 рабочих станций заразились одним и тем же вирусом. Симптомы: в корне дисков создаются файлы autorun.inf и autorun.exe, наблюдаются сильные тормоза при работе, McAfee периодически выдает, что нашел и удалил файл windows\system32\services.exe (trojan New Malware.j). Dr.Web определяет его как Win32.HLLW.Brutus.4651... Судя по всему эта дрянь распространяется через флешки

    Прошу совета по двум вопросам:
    1) Что из себя представляет вирус
    2) Как уберечься от этого вируса? Может централизованно накатить какое-нибудь обновление?

    ps как вылечить ясно... DrWeb 5.0 при загрузке с LiveCD помогает
    pps Установить все обновления для ОС возможности нет, сменить антивирус возможности тоже нет

    С уважением
    Вложения Вложения
    Последний раз редактировалось gbcfk(f)^; 01.06.2009 в 06:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    На всех компьютерах с XP SP3 установлен McAfee ViruScan Enterprise 8.5.0i с последними обновлениями.
    А этот - приятное исключение?
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Операционные системы не обновляются по техническим причинам... вообще.
    А Ваш шеф тормоза на свое машине меняет или так ездит?
    Судя по всему эта дрянь распространяется через флешки
    Отключите автозапуск в флешек (АВЗ/Файл/Мастер поиска и устранения проблем/Все проблемы...)
    1) Что из себя представляет вирус
    карантин пришлете по правилам - узнаем.
    2) Как уберечься от этого вируса? Может централизованно накатить какое-нибудь обновление?
    СП3+все последующие важные патчи - хоть централизованно, хоть индидвидуально накатывайте.
    Установить все обновления для ОС возможности нет, сменить антивирус возможности тоже нет
    Антивирус менять не обязательно, а обновить ОС - наоборот. Что заначит нет возможности ? Хочешь сделать - ищи средства, не хочешь - ищи причину... ©
    Благодаря дырам в ОС система доступна для нехороших людей - возможно даже Ваших прямых конкурентов - которые имеют доступ ко всем данным системы.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wbdhomesp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://wbdhomesp
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
    O4 - Startup: userinit.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O14 - IERESET.INF: START_PAGE_URL=http://wbdhomesp
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\chiryatyevks\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('c:\autorun.exe','');
     DeleteFile('c:\autorun.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\Documents and Settings\chiryatyevks\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

    Короткий список необходимых обновлений:

    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А этот - приятное исключение?
    Ну типа да, другие машины с установленным SP3 также заражаются
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    карантин пришлете по правилам - узнаем.
    выслал (090602_063208_virus_4a248f28c1dd0.zip)

    По описанию это Worm/Agent.HC в классификации avira.
    Пытается гад пароли с аськи турнуть..

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Отключите автозапуск в флешек (АВЗ/Файл/Мастер поиска и устранения проблем/Все проблемы...)
    Кажется видел с год назад на этом (?) сайте полный список возможностей автозапуска с сменных носителей... не могу отыскать

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    См в разделе "Чаво" про отключение флешек и прочего.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    По описанию это Worm/Agent.HC
    autorun.exe_ - P2P-Worm.Win32.Socks.la

    Детектирование файла будет добавлено в следующее обновление.

    Логи давайте

  7. #6
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    PavelA
    Благодарю
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Логи давайте
    Прикрепил...
    Обновил базу avz, вирус по прежнему не определяется..
    Avz рапортует, что фалы autorun.exe и autorun.inf подозрительны, но остальные вирусные файлы оставляет без внимания

    ps возможно стоило обновить саму программу... она уже недельной давности

    pps поселил пока вирус на vmware, лечить не надо
    Вложения Вложения
    Последний раз редактировалось gbcfk(f)^; 05.06.2009 в 03:56.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
    O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Администратор\svchost.exe
    O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Администратор\svchost.exe
    O4 - Startup: userinit.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Schedule');
     TerminateProcessByName('c:\windows\system32\drivers\services.exe');
     TerminateProcessByName('c:\documents and settings\Администратор\svchost.exe');
     QuarantineFile('C:\autorun.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe','');
     QuarantineFile('c:\documents and settings\Администратор\svchost.exe','');
     QuarantineFile('c:\windows\system32\drivers\services.exe','');
     DeleteFile('c:\windows\system32\drivers\services.exe');
     DeleteFile('c:\documents and settings\Администратор\svchost.exe');
     DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\autorun.exe');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Выполнил

    Эти скрипты удалили вирус.. все путем.
    Но в корне диска остались файлы:
    Counter-Strike KeyGen.exe
    FTP Cracker.exe
    ICQ Hacker.exe
    MSN Password Cracker.exe
    Microsoft Visual Studio KeyGen.exe
    и.т.д.
    Подобный файл в предыдущем карантине есть, у них только названия отличаются.

    Rene-gad, спасибо за помощь

    ps Заниматься обновлением компьютеров в сети мне лень, лучше займусь отключением автозапуска с флешек\дисков
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    Но в корне диска остались файлы:
    Counter-Strike KeyGen.exe
    FTP Cracker.exe
    ICQ Hacker.exe
    MSN Password Cracker.exe
    Microsoft Visual Studio KeyGen.exe
    Ну это же Ваши кряки....
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    Заниматься обновлением компьютеров в сети мне лень
    А мне лень их лечить...

  11. #10
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Ну это же Ваши кряки....
    Нифига
    Это вирус наплодил. Какие еще кряки на девственно чистой виртуальной машине?
    Если запустить любой из этих файлов машина тут же заразится снова

    ps вот доказательство:
    Worm/Agent.HC - Worm

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    Это вирус наплодил. Какие еще кряки на девственно чистой виртуальной машине?
    Уважаемый, откуда у Вас дистрибутив? Давайте поспорим на ящик пива, что никакой вирус такого наплодить не мог.

  13. #12
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Уважаемый, откуда у Вас дистрибутив? Давайте поспорим на ящик пива, что никакой вирус такого наплодить не мог.
    Спорим
    Только ящик пива будет дорогова-то до меня доставить, а вот бутылочку коньяка.. или лучше абсента вполне нормально.

    Дистрибутив со взора
    Новая стерильная виртуальная машина на vmware server, ОС установлена из iso образа, скачанного в свое время с вышеупомянутого ресурса.
    Сделаны кое-какие твики(типа отключения красивостей и лишних служб, чтоб ВМ работала шустрее), установлены vmware tools.
    Затем получившаяся вм заархивирована и её копии используются для опытов по мере необходимости.
    Затем установлен mcafee, обновлен из локального репозитория.. скопирован avz и вирус. (подключения к физической машине\сети естесственно нет).
    Следом вирус вылечен вашими скриптами... вылечен вполне успешно.
    Но в корневой директории остались указанные файлы - продукты жизнедеятельности вируса... кстати, один из них я прислал в прошлом карантине

    ps никакой выпивки я требовать конечно не буду, я ж не злодей

    pps в качестве вещественного доказательства готов заснять с помощью uvcscreencamera весь процесс - от развертывания виртуальной машины, до вылечивания

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    Дистрибутив со взора
    Тогда и удивляться нечему. А вирусы кигенами не разбрасываются - это точно. Установите с этого же дистрибутива еще одну систему и увидите сами.

  15. #14
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Rene-gad
    Я с этого дистрибутива штук 70 компов поставил... пожалуй преувеличил - около сорока
    и десяток виртуальных.

    ps ну какой еще кейген... если его запустить вирус тут же заражает систему, пробовал ради интереса
    а на счет "удивляться нечему"... не буду спорить, но боюсь что большинство ваших коллег не поддержит эту точку зрения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gbcfk(f)^ Посмотреть сообщение
    Rene-gad
    а на счет "удивляться нечему"... не буду спорить, но боюсь что большинство ваших коллег не поддержит эту точку зрения
    т.е.? Вы сомневаетесь, что левые дистри могут быть препарированы?

  17. #16
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    37
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    т.е.? Вы сомневаетесь, что левые дистри могут быть препарированы?
    сомневаюсь/не сомневаюсь... стерильность и не побоюсь этого слова незамутненность образов, выкладываемых взором общеизвестна.. Даже самые недоверчивые скептики не подвергают этот факт сомнению
    Это вам не, прости господи, "зверьсиди"

    что-то мы несколько отошли от темы
    Эти "кейгены" все же остатки вируса.. факт

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\1\архив с вирусом\autorun.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
      2. c:\1\архив с вирусом\sdbot with netbios spread.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
      3. c:\1\архив с вирусом\services.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
      4. c:\1\архив с вирусом\svchost.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
      5. c:\1\архив с вирусом\userinit.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )


  • Уважаемый(ая) gbcfk(f)^, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 18.09.2010, 10:32
    2. Ответов: 2
      Последнее сообщение: 10.02.2010, 20:17
    3. Ответов: 1
      Последнее сообщение: 30.12.2009, 16:14
    4. Ответов: 24
      Последнее сообщение: 14.03.2008, 22:21
    5. Как избавиться от этого вируса sdfdil.exe
      От Olegtlt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.05.2007, 16:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01096 seconds with 17 queries