Помогите уберечь сеть от вот этого вируса

[gbcfk(f)^]

Добрый день

Исходные данные: есть домен, энное количество ПК. На всех компьютерах с XP SP3 установлен McAfee ViruScan Enterprise 8.5.0i с последними обновлениями. Операционные системы не обновляются по техническим причинам... вообще.

Уже штук 5 рабочих станций заразились одним и тем же вирусом. Симптомы: в корне дисков создаются файлы autorun.inf и autorun.exe, наблюдаются сильные тормоза при работе, McAfee периодически выдает, что нашел и удалил файл windows\system32\services.exe (trojan New Malware.j). Dr.Web определяет его как Win32.HLLW.Brutus.4651... Судя по всему эта дрянь распространяется через флешки

Прошу совета по двум вопросам:
1) Что из себя представляет вирус
2) Как уберечься от этого вируса? Может централизованно накатить какое-нибудь обновление?

ps как вылечить ясно... DrWeb 5.0 при загрузке с LiveCD помогает
pps Установить все обновления для ОС возможности нет, сменить антивирус возможности тоже нет

С уважением

[Rene-gad]

На всех компьютерах с XP SP3 установлен McAfee ViruScan Enterprise 8.5.0i с последними обновлениями.

А этот - приятное исключение?

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Операционные системы не обновляются по техническим причинам... вообще.

А Ваш шеф тормоза на свое машине меняет или так ездит?

Судя по всему эта дрянь распространяется через флешки

Отключите автозапуск в флешек (АВЗ/Файл/Мастер поиска и устранения проблем/Все проблемы...)

1) Что из себя представляет вирус

карантин пришлете по правилам - узнаем.

2) Как уберечься от этого вируса? Может централизованно накатить какое-нибудь обновление?

СП3+все последующие важные патчи - хоть централизованно, хоть индидвидуально накатывайте.

Установить все обновления для ОС возможности нет, сменить антивирус возможности тоже нет

Антивирус менять не обязательно, а обновить ОС - наоборот. Что заначит нет возможности ? Хочешь сделать - ищи средства, не хочешь - ищи причину... ©
Благодаря дырам в ОС система доступна для нехороших людей - возможно даже Ваших прямых конкурентов - которые имеют доступ ко всем данным системы.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wbdhomesp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://wbdhomesp
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O4 - Startup: userinit.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: START_PAGE_URL=http://wbdhomesp

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\chiryatyevks\Главное меню\Программы\Автозагрузка\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
 QuarantineFile('c:\autorun.exe','');
 DeleteFile('c:\autorun.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\Documents and Settings\chiryatyevks\Главное меню\Программы\Автозагрузка\userinit.exe');
 DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Короткий список необходимых обновлений:

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader

[gbcfk(f)^]

А этот - приятное исключение?

Ну типа да, другие машины с установленным SP3 также заражаются

карантин пришлете по правилам - узнаем.

выслал (090602_063208_virus_4a248f28c1dd0.zip)

По описанию это Worm/Agent.HC в классификации avira.
Пытается гад пароли с аськи турнуть..

Отключите автозапуск в флешек (АВЗ/Файл/Мастер поиска и устранения проблем/Все проблемы...)

Кажется видел с год назад на этом (?) сайте полный список возможностей автозапуска с сменных носителей... не могу отыскать

[PavelA]

См в разделе "Чаво" про отключение флешек и прочего.

[Rene-gad]

По описанию это Worm/Agent.HC

autorun.exe_ - P2P-Worm.Win32.Socks.la

Детектирование файла будет добавлено в следующее обновление.

Логи давайте

[gbcfk(f)^]

PavelA
Благодарю

Логи давайте

Прикрепил...
Обновил базу avz, вирус по прежнему не определяется..
Avz рапортует, что фалы autorun.exe и autorun.inf подозрительны, но остальные вирусные файлы оставляет без внимания

ps возможно стоило обновить саму программу... она уже недельной давности

pps поселил пока вирус на vmware, лечить не надо

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Администратор\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Администратор\svchost.exe
O4 - Startup: userinit.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Schedule');
 TerminateProcessByName('c:\windows\system32\drivers\services.exe');
 TerminateProcessByName('c:\documents and settings\Администратор\svchost.exe');
 QuarantineFile('C:\autorun.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe','');
 QuarantineFile('c:\documents and settings\Администратор\svchost.exe','');
 QuarantineFile('c:\windows\system32\drivers\services.exe','');
 DeleteFile('c:\windows\system32\drivers\services.exe');
 DeleteFile('c:\documents and settings\Администратор\svchost.exe');
 DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\autorun.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[gbcfk(f)^]

Выполнил

Эти скрипты удалили вирус.. все путем.
Но в корне диска остались файлы:
Counter-Strike KeyGen.exe
FTP Cracker.exe
ICQ Hacker.exe
MSN Password Cracker.exe
Microsoft Visual Studio KeyGen.exe
и.т.д.
Подобный файл в предыдущем карантине есть, у них только названия отличаются.

Rene-gad, спасибо за помощь

ps Заниматься обновлением компьютеров в сети мне лень, лучше займусь отключением автозапуска с флешек\дисков

[Rene-gad]

Но в корне диска остались файлы:
Counter-Strike KeyGen.exe
FTP Cracker.exe
ICQ Hacker.exe
MSN Password Cracker.exe
Microsoft Visual Studio KeyGen.exe

Ну это же Ваши кряки....

Заниматься обновлением компьютеров в сети мне лень

А мне лень их лечить...

[gbcfk(f)^]

Ну это же Ваши кряки....

Нифига
Это вирус наплодил. Какие еще кряки на девственно чистой виртуальной машине?
Если запустить любой из этих файлов машина тут же заразится снова

ps вот доказательство:
Worm/Agent.HC - Worm

[Rene-gad]

Это вирус наплодил. Какие еще кряки на девственно чистой виртуальной машине?

Уважаемый, откуда у Вас дистрибутив? Давайте поспорим на ящик пива, что никакой вирус такого наплодить не мог.

[gbcfk(f)^]

Уважаемый, откуда у Вас дистрибутив? Давайте поспорим на ящик пива, что никакой вирус такого наплодить не мог.

Спорим
Только ящик пива будет дорогова-то до меня доставить, а вот бутылочку коньяка.. или лучше абсента вполне нормально.

Дистрибутив со взора
Новая стерильная виртуальная машина на vmware server, ОС установлена из iso образа, скачанного в свое время с вышеупомянутого ресурса.
Сделаны кое-какие твики(типа отключения красивостей и лишних служб, чтоб ВМ работала шустрее), установлены vmware tools.
Затем получившаяся вм заархивирована и её копии используются для опытов по мере необходимости.
Затем установлен mcafee, обновлен из локального репозитория.. скопирован avz и вирус. (подключения к физической машине\сети естесственно нет).
Следом вирус вылечен вашими скриптами... вылечен вполне успешно.
Но в корневой директории остались указанные файлы - продукты жизнедеятельности вируса... кстати, один из них я прислал в прошлом карантине

ps никакой выпивки я требовать конечно не буду, я ж не злодей

pps в качестве вещественного доказательства готов заснять с помощью uvcscreencamera весь процесс - от развертывания виртуальной машины, до вылечивания

[Rene-gad]

Дистрибутив со взора

Тогда и удивляться нечему. А вирусы кигенами не разбрасываются - это точно. Установите с этого же дистрибутива еще одну систему и увидите сами.

[gbcfk(f)^]

Rene-gad
Я с этого дистрибутива штук 70 компов поставил... пожалуй преувеличил - около сорока
и десяток виртуальных.

ps ну какой еще кейген... если его запустить вирус тут же заражает систему, пробовал ради интереса
а на счет "удивляться нечему"... не буду спорить, но боюсь что большинство ваших коллег не поддержит эту точку зрения

[Rene-gad]

Rene-gad
а на счет "удивляться нечему"... не буду спорить, но боюсь что большинство ваших коллег не поддержит эту точку зрения

т.е.? Вы сомневаетесь, что левые дистри могут быть препарированы?

[gbcfk(f)^]

т.е.? Вы сомневаетесь, что левые дистри могут быть препарированы?

сомневаюсь/не сомневаюсь... стерильность и не побоюсь этого слова незамутненность образов, выкладываемых взором общеизвестна.. Даже самые недоверчивые скептики не подвергают этот факт сомнению
Это вам не, прости господи, "зверьсиди"

что-то мы несколько отошли от темы
Эти "кейгены" все же остатки вируса.. факт

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\1\архив с вирусом\autorun.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
  2. c:\1\архив с вирусом\sdbot with netbios spread.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
  3. c:\1\архив с вирусом\services.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
  4. c:\1\архив с вирусом\svchost.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )
  5. c:\1\архив с вирусом\userinit.exe - P2P-Worm.Win32.Socks.la ( DrWEB: Win32.HLLW.Brutus.4651, BitDefender: Win32.Worm.Socks.BO )